ソースコードを誰もが修正・配布できるよう公開したオープンソースソフトウエアを点検した結果、約0.5%で実際のハッキングに悪用され得る脆弱性が見つかった。
韓国インターネット振興院(KISA)は7日、23万1000件余りのオープンソース構成要素を分析した結果、3.5%でマルウエアのリモート実行や機微情報の露出などに悪用され得るセキュリティ脆弱性が見つかったと明らかにした。
オープンソース構成要素の0.49%では、実際のハッキングや分散型サービス妨害(DDoS)攻撃に使われ得る高リスク脆弱性(KEV)が確認された。
韓国インターネット振興院は、調査対象のソフトウエアはすべて最低1個以上のオープンソース構成要素を使用していたと伝えた。
オープンソースの活用が日常化しサイバー攻撃の強度が高まる中、米国や欧州連合(EU)など主要国では「ソフトウエア部品表」(SBOM)の提出・管理を義務化するなど、ソフトウエア供給網の管理指針を強化する趨勢にある。
EUではサイバー・レジリエンス法(CRA)やEUCC認証制度などを適用しており、来年9月からはEUにソフトウエアを輸出するすべての企業が、販売後に脆弱性が見つかった場合でも当局に通報する義務を負うことになる。
韓国インターネット振興院は、企業が供給網のセキュリティ要件を一つひとつ点検するのが難しい点を踏まえ、外部ソースコードの初回導入から配布後のモニタリングまで管理する供給網セキュリティ管理体制を構築した。
振興院の関係者は「開発者がギットハブなどから取得するソースコードを安全だと信じ切れない状況で、頻用されるオープンソースを集めて検証し、SBOMを生成して承認済みのオープンソースのみ使用するようにしている」と説明した。
※ 本記事はAIで翻訳されています。ご意見はこちらのフォームから送信してください。