米国時間2021年12月9日に公開された当時ゼロデイ脆弱性であったJavaのログ出力ライブラリ「Apache Log4j」上に存在する脆弱性「Log4Shell」(CVE-2021-44228)の影響により、Apache HTTP ServerのようなオープンソースのWebサーバを狙うサイバー攻撃が急増しました。攻撃者は、人々がWebサーバに依存していることを利用して、リモートコード実行(RCE)、アクセス制御におけるバイパス、サービス拒否(DoS)攻撃などを行ったり、侵害したサーバを乗っ取って暗号資産(旧:仮想通貨)を不正に採掘(マイニング)したりします。
サイバー攻撃から企業を守るには、ベンダがリリースした修正プログラム(パッチ)を適時適切に展開するだけでは不十分な場合があります。このため、ソフトウェア構成分析(SCA)を用いて、ソフトウェアサプライチェーンの各レイヤに内在する問題・課題を見つけ出し対処することが、2022年には必須となります。
続きを読むオープンソースのコードは過去10年でますます使用されるようになり、今では大多数の商用ソフトウェアで使われるようになっています。世界中の開発者が、共通の技術やコードの機能をインターネット上で絶えず共有しています。アプリケーションチームに求められるスピードと需要は高まり、かつては年に数回のアプリケーションのリリースでビジネスが行われていたのが、今では週または日に数回の頻度となっています。この急激な加速により、業界全体が「ウォーターフォール」や「反復型」のプロジェクト開発手法から「アジャイル」への移行を後押しされ、急拡大する需要に対処しています。
オープンソースのコードは無数のソースから成り立っています。中でもコードの再利用、サードパーティライブラリ、開発者向けダウンロードが主流となる傾向にあります。また、あるプロジェクトのコードをほかで再利用することも一般的なことです。例えば、プロジェクトにコンサルタントを起用しており、1時間あたり250ドルを支払っているとします。この場合、このコンサルタントは前年に別のクライアントのプロジェクトで使ったものと同じコードを使用しているのだということを理解しましょう。(クライアントXのプロジェクトで機能しているコードがあり、クライアントYも似たようなことをしているなら、コードを再利用してお金を節約しようとなるわけです)。
