Protecting against software supply chain Cyber-attacks
勤労感謝の日の連休中、アメリカ人の関心がバーベキューやビールに向かう中、米国サイバーコマンドのサイバー戦士たちは別のことを考えていました。それは、Atlassian社のConfluenceソフトウェアの18万人のユーザーに対して、大規模なソフトウェアサプライチェーン攻撃の被害に遭う危険性があることを警告することでした。
USCYBERCOMは、9月3日のTwitter投稿で、「Atlassian ConfluenceのCVE-2021-26084の大規模な悪用は進行中であり、加速することが予想されます」と警告しました。まだパッチを適用していない場合はすぐにパッチを適用してください – 週末まで待てません” と警告しています。
USCYBERCOMがなぜこれほどまでに怯えているのかは容易に想像がつきます。ウェブサイトによると、Atlassian社のConfluenceソフトウェアは、「あなたのチームに、あらゆるプロジェクトやアイデアを作成、取り込み、コラボレーションするための場所を提供します….、すべてのチームメンバーは、組織的な知識を可視化し、最高の仕事をするために必要な情報にアクセスすることができます。Confluenceのオープンでコラボレーションな性質を利用して、組織のConfluenceコラボレーション・ワークスペースに侵入した攻撃者は、膨大な量の個人的なビジネス情報を持ち去り、顧客やベンダーに対してサプライチェーン攻撃を仕掛けることができます。Solar Winds、Codecov、Kaseyaなどのソフトウェアサプライチェーンへの攻撃に加えて、ソフトウェアベンダーは、コードの改ざんを防止し、ソフトウェア開発ライフサイクルの整合性を保護するソリューションを積極的に導入することが望ましいでしょう。特に、「常時稼働型」の継続的インテグレーション/継続的デプロイメント(CI/CD)の新時代においてはなおさらです。
開発者にとって幸運なことに、開発者のコードのセキュリティを保護することに特化したサイバーセキュリティ企業が増えています。驚くことではありませんが、これらの多くはイスラエル企業です
WhiteSource Software WhiteSourceは、オープンソース・ソフトウェア・パッケージのセキュリティを保護するための包括的なソリューションを提供しています。開発環境やDevOpsパイプラインと統合し、セキュリティやコンプライアンスに問題のあるオープンソースライブラリをリアルタイムに検出します。また、WhiteSourceは、迅速な解決を可能にする実用的で検証された修復パスと、修正までの時間を短縮する自動化されたポリシー施行を提供します。WhiteSourceは200以上のプログラミング言語をサポートしており、米国国家脆弱性データベース、セキュリティ勧告、ピアレビューされた脆弱性ナレッジベース、オープンソースプロジェクトのイシュートラッカーなど、複数のオープンソース脆弱性データベースを継続的に追跡しています。
Argon Security Argonはソフトウェアのサプライチェーンに全体的なセキュリティを提供します。Argonは、DevOpsチームとセキュリティチームが、コミットからリリースまでの改ざん防止されたソフトウェア・デリバリー・パイプラインを構築することを可能にします。同社の市場初のセキュリティソリューションは、CI/CD パイプラインに可視性、セキュリティ、および整合性を提供し、ソフトウェアリリースの信頼性を高めます。
Spectral Spectral社は、企業や開発者向けに自動化されたコードセキュリティプラットフォームを提供しています。Spectral社の開発者第一主義のアプローチは、大規模なデータ漏洩や事業継続の問題につながるセキュリティ上の欠陥をリアルタイムに検出・緩和することで、ソフトウェアのセキュリティを確保し、あらゆるプラットフォームで自由に出荷することを可能にします。
Dustico ソフトウェアのサプライチェーンを保護することの重要性が高まっていることを示すように、Dusticoは、ステルス状態から数ヶ月しか経っていないにもかかわらず、イスラエルのサイバー企業であるCheckmarxに買収されました。Dustico社は、オープンソースソフトウェアのサプライチェーンへの攻撃を防ぐために、動的なソースコード解析プラットフォームを提供しています。そのコードサンドボックスは、コード変更時の悪意ある動作を検出し(静的解析と動的解析の組み合わせ)、コードが本番環境にデプロイされる前に、不要な悪意のあるコードやオープンソースパッケージを防ぐのに役立ちます。
Cycode Cycodeは、特許出願中のソースパスインテリジェンスエンジンを活用して、ITセキュリティチームにオンプレミスやクラウドベースのソースコード管理システム全体の可視性を提供し、ソースコードのアクセス、移動、操作の異常を自動的に検出して対応します。Cycodeは、新たなセキュリティ管理の導入や既存のセキュリティ管理の調整により、脅威が顕在化した際に、迅速かつ効果的に対応することができます。
