• 2023年に比べて、公開された開発秘密が12%増加
  • 最も人気のある30のオープンソースパッケージのスキャンで、1パッケージあたり平均6つの重大度の高い欠陥と33の高い欠陥が見つかった
  • 商用ソフトウェアパッケージもリスクの源
  • ソフトウェアの供給チェーンリスクは増加傾向。2020年のSolarWinds侵害後、問題が浮上
  • 数多くのソフトウェアの供給チェーン攻撃が発生
  • オープンソースソフトウェアモジュールとコードリポジトリがリスクの大部分を占める
  • 多くのオープンソースモジュールには古くて陳腐なソフトウェアモジュールが含まれており、これを「コードロット」と呼ぶ現象がある
  • 悪意のあるソフトウェアの供給チェーンキャンペーンがAI開発のインフラストラクチャを標的にしている

この記事は、オープンソースや第三者の商用ソフトウェアの普及した欠陥と、AI開発パイプラインを標的とした悪質なキャンペーンがソフトウェアの供給チェーンセキュリティの問題を悪化させていることを指摘しています。ソフトウェアの供給チェーンリスクは、現代のIT環境が第三者サプライヤーやオープンソースコンポーネントに大きく依存しているため、ますます一般的で複雑になっています。

元記事: https://www.csoonline.com/article/3846304/ai-development-pipeline-attacks-expand-cisos-software-supply-chain-risk.html