Sonatype の報告書 9th Annual State of the Software Supply Chain によると、2023 年にはオープンソースエコシステムへのサプライチェーン攻撃が大幅に増加しているそうだ (プレスリリース、 BetaNews の記事、 報告書: PDF)。

調査対象は Maven Central (Java)・npm (JavaScript)・PyPI (Python)・NuGet (.NET) という 4 つのエコシステム。これらのエコシステムでは 9 月時点で 245,032 個の悪意あるパッケージが見つかっており、2022 年 (88,000 個) の 3 倍近い数字になっている。Sonatype が調査を始めた 2019 年分から 2022 年分までの累計と比較しても 2 倍以上となるようだ。

また、2023 年に Maven Central でダウンロードされたソフトウェアのうち、10% が既知の脆弱性を含んでいたという。この比率は 2021 年の 14%、2022 年の 12% から減少傾向している。ただし、2022 年の調査と同様に脆弱性を含むダウンロードの 96% は既に修正版が入手可能であり、事前に確認すれば回避可能だったとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ |

関連ストーリー：
既知の脆弱性を含むコード、時間がなければ仕方なくデプロイする？ 2023年04月29日
悪意あるPyPIパッケージ発見される、タイポスクワッティング狙いか 2023年02月20日
Denoが3カ月以内にnpmパッケージへ対応と発表 2022年08月22日
オープンソースプロジェクトの脆弱性修正にかかる時間が 3 年間で倍以上に増加したとの調査結果 2022年06月23日
node-ipcメインテナー、ロシアとベラルーシのホストシステムのファイルを上書きするコードを追加 2022年03月22日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
Apache Log4j 2 で非常に深刻なリモートコード実行の脆弱性が見つかる 2021年12月11日
PyPI で公開されているパッケージの半数近くが何らかのセキュリティ上の問題を含むとの調査結果 2021年08月01日
Microsoft、D3DXのNuGetパッケージを提供開始 2021年03月05日
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 2020年04月19日
最も広く使われているFOSSパッケージ 2020年02月24日
PyPIに悪意のあるパッケージがアップロードされていた 2017年09月18日
Android OのAPIがDeveloper Preview 3でファイナル版に、Google Playでのアプリ公開も可能となる 2017年06月11日
Microsoftが.NET Coreを紹介 2014年12月07日