- 2023年に比べて、公開された開発秘密が12%増加
- 最も人気のある30のオープンソースパッケージのスキャンで、1パッケージあたり平均6つの重大度の高い欠陥と33の高い欠陥が見つかった
- 商用ソフトウェアパッケージもリスクの源
- ソフトウェアの供給チェーンリスクは増加傾向。2020年のSolarWinds侵害後、問題が浮上
- 数多くのソフトウェアの供給チェーン攻撃が発生
- オープンソースソフトウェアモジュールとコードリポジトリがリスクの大部分を占める
- 多くのオープンソースモジュールには古くて陳腐なソフトウェアモジュールが含まれており、これを「コードロット」と呼ぶ現象がある
- 悪意のあるソフトウェアの供給チェーンキャンペーンがAI開発のインフラストラクチャを標的にしている
この記事は、オープンソースや第三者の商用ソフトウェアの普及した欠陥と、AI開発パイプラインを標的とした悪質なキャンペーンがソフトウェアの供給チェーンセキュリティの問題を悪化させていることを指摘しています。ソフトウェアの供給チェーンリスクは、現代のIT環境が第三者サプライヤーやオープンソースコンポーネントに大きく依存しているため、ますます一般的で複雑になっています。