概要
DataDogの最新レポートによると、AI支援コーディングを急速に採用する一方で、多くの組織が依存関係の管理を適切に行えていないため、ソフトウェアサプライチェーンは脅威アクターによる攻撃に対して非常に脆弱であると報告されています。
主要な発見
DataDogの研究によると、87%の組織が既知の脆弱性を含むデプロイされたサービスを運用しています。これらの脆弱性は40%のすべてのサービスに影響を与えています。Javaアプリケーションでは59%の脆弱性率が最も高く、その次に.NETとRustがあります。
脆弱性の状況
- 87%の組織が既知の脆弱性を含むデプロイされたサービスを運用しています。
- 高リスクのアクティブなエクスプロイトの可能性があります。
- 平均的な依存関係は最新の主要更新から278日遅れています。
- 未修正の脆弱性が蓄積されています。
迅速なアップデート
- 50%の組織がリリース後24時間以内に新しいライブラリを導入しています。
- 悪意のあるサプライチェーンパッケージへの暴露があります。
CI/CDパイプライン
- 71%の組織がGitHubアクションハッシュを固定していません。
- 侵害されたワークフロー行動に対する脆弱性があります。
セキュリティチームの課題
セキュリティチームは重大なアラート疲労に直面しています。しかし、実際のエクスプロイト可能性を考慮すると、「critical」依存関係脆弱性の18%しか真の脅威とはなりません。
緩和策
- サードパーティライブラリ:7日間の更新クールダウン期間を実装します。これにより、デイワンの悪意のあるパッケージのインストールを防ぐことができます。
- クラウドイメージ:信頼できるファーストパーティDocker Hubタグを使用します。これにより、侵害されたコンテナの展開リスクが低下します。
- GitHubアクション:すべてのアクションバージョンを完全なコミットSHAに固定します。これにより、侵害されたアクションの自動更新をブロックできます。
- アラート管理:CVSSスコアを実行時コンテキストを使用して調整します。これにより、「critical」アラートのボリュームが80%以上減少します。
元記事: https://gbhackers.com/study-finds-87-of-organizations-exposed/