Javaの更新遅れは13カ月
また、かねてより課題だったライブラリの更新の遅れは、依然大きな課題であることも指摘した。調査によると主要言語の最新メジャーバージョンからの更新遅れは中央値で215日に上る。「半年以上更新が遅れていることは、技術的負債だけでなくセキュリティリスクの高まりでもある」とクルーグ氏は警鐘を鳴らした。
すべての言語の依存ライブラリは更新に大きな遅れ
特に問題が大きいのがJavaで、その遅れは13カ月に及んでいる。クルーグ氏は「静的に置いておくことで改善を待つのではなく、継続的に更新することで改善するという意識の変革が必要」と呼びかけた。
ソフトウェアサプライチェーンへの攻撃深刻化 国家支援型攻撃者も増加
ソフトウェアサプライチェーンへの攻撃の深刻化も報告された。タイポスクワッティング(人気ライブラリ名のなりすまし)や正規パッケージの乗っ取りといった手法により、オープンソースのパッケージ管理システムであるPyPI(Python Package Index)やnpm(Node.js用のパッケージ管理システム)などのエコシステムが標的とされている。一般の攻撃者に加え、国家支援型とみられる攻撃者の関与も増えているという。
深刻化するソフトウェアサプライチェーンへの攻撃
デプロイ頻度の向上がリスク回避に有効
脆弱性の発生リスクを抑えるために有効なアプローチとして、クルーグ氏が挙げたのがデプロイ頻度の向上だ。Datadogの調査によれば、サービス(クラウド上で稼働するアプリケーションやマイクロサービスなど)を日次でデプロイしている組織は、依存ライブラリの更新遅延を約70日短縮できているという。
デプロイ頻度が低いほど依存ライブラリの更新が遅延
クルーグ氏は、「DevSecOpsは理想論ではなく、問題に対応する実践的な手法だ」と強調。DevSecOps導入の成功の鍵として、社内文化の改革、KPIによる可視化と段階的な実践、そして継続的に改善し、学ぶ環境を組織内に築くことの3点を挙げた。
