現代社会に、ハッカーによる低コストで高被害のテクニックの波の中、悪質な行為者は、ソフトウェアのオープンソース構成要素を標的とすることで、一般的なセキュリティ対策を回避する、簡単で、独創的で、うまく偽装された方法を見出しています。このような手法には、タイポスクワッティング、依存関係の混乱、マルウェア・インジェクションなどがあり、Sonatypeの自動マルウェア検出機能は、これまでに63,000以上のパッケージを検出しています。中には、標的の開発ツールに合わせて作られた攻撃もあります。

エンジニアリングチームは、悪意のある行為者の先手を打つ必要があるため、新機能を導入し、ソフトウェア開発ライフサイクルの早い段階で悪意のあるコードを特定する機能を強化しました。そして、スピードを落とすことなく、セキュリティ上の懸念や法的責任に対処する必要があります。

Nexusプラットフォームの新機能

Nexusプラットフォームの最新アップデートでは、次のような新機能が追加されました：

• Nexus Firewallの自動マルウェア検知と早期警告検知をPythonエコシステムに拡張します。
• 隠しテキストエンコーディング攻撃やその他の悪意のあるコンポーネントの検出とブロックを改善します。
• 悪意のある可能性のあるコンポーネントを特定する業界初の機能により、可能な限り安全なコンポーネントに集中できるようにし、不審でない最新のパッケージへと導きます。
• Nexus Firewallの拡張サポートにより、既知および未知のオープンソースリスクからJFrog Artifactoryを保護します。これには、Artifactory Proだけでなく、Artifactory Enterpriseも含まれます。
• パッケージの使用状況や深刻度に関する洞察を含む詳細なコンポーネントページを含む脆弱性レポートの幅広い共有を可能にし、Nexusログインなしで拡張チームが利用できます。

PyPiの疑わしいパッケージのブロック

ここ数年、依存関係の混乱やtyposquatting攻撃の数が急激に増加していることが、脆弱性タイムラインに記録されています。2022年においても、開発者が悪意のある行為者の主要な標的であり続けることは、これまでの歴史から明らかです。

これに対処するため、SonatypeはSuspicious Package Blocking機能を拡張し、Pythonを追加します。

SonatypeのNexus Intelligenceデータを活用したSuspicious Package Blocking機能は、50以上の異なるシグナルを組み合わせることで、潜在的に悪意のあるアクティビティを特定し、ダウンロード前にリスクをブロックします。これらのシグナルは他に類を見ない人工知能/機械学習（AI/ML）を活用した防御にフィードバックされ、フルスペクトル防御のために連携します。

トロイ木馬によるUnicode攻撃からの保護

昨年2021年11月、ケンブリッジ大学の研究者たちは、オープンソース・ソフトウェアに任意のコードを忍び込ませる “トロイの木馬ソース “と呼ばれる別の方法を発見した。このテクニックは、ソースコードをコンパイルし、開発者に表示される方法とは異なる方法で解釈するユニコード・テキスト・エンコーダの弱点を悪用することを目的としています。

このような混乱は、悪意ある行為者が、人間の目には見えないがソフトウェアによって実行されるコード機能を含むことができる橋渡しをする。有害なコードは目に見えるところに隠れる可能性があるため、開発環境にとって重大な脅威となりえます。

この問題に対処するため、私たちは疑わしいパッケージのブロック機能を拡張し、あらゆる不正動作を継続的に監視するためのシグナルを追加しました。このツールは、環境内の潜在的に有害なUnicode要素について疑わしいコードにフラグを立て、手動レビューのために当社のリサーチチームに送信します。

これらの攻撃に対するこの新しい保護機能は、Nexus Firewallで今すぐご利用いただけます。Sonatypeは、この高度な攻撃手法に対するインテリジェントな自動保護を提供する最初の企業の一つです。

安全なコンポーネントの選択

開発者が安全でセキュアなソフトウェアの最新バージョンを調査したり、コンポーネントを手作業でリリースしたり、ステータスの変化を追跡したりすることに負担がかかると、重要なプロジェクトに遅れが生じます。レジストリからソフトウェアパッケージの最新バージョンをダウンロードする場合、安全であることを確認する必要があります。

Nexus Firewall のガバナンスにより、ダウンロードはチームのポリシーに従って自動的に評価され、開発者が関与することなく、既知の安全なバージョンが返されます。これらの決定は、人気、ライセンス、既知の脆弱性のような一般的なリスク要因を含む、調整可能なポリシーのセットに基づいて完全にバックグラウンドで行われます。

この評価プロセスの概要を以下に示します。

最新のコンポーネントではない？

新しい、あるいは最近保存されたバージョンのソフトウェアパッケージが、不審な、あるいは有害なものとしてフラグを立てられたらどうしますか？
お客様の安全を守るため、以下のプロセスが自動的に実行されます：

1. Sonatypeのセキュリティリサーチチームによる手動レビューのため、バージョンは隔離エリアに置かれます。
2. この評価の間、開発者のビルド環境に「ダウンストリーム」できるのはKnown Safeバージョンのみです。
3. コンポーネントが安全に使用できる（ポリシーに準拠している）と判断されると、コンポーネントとして開発パイプラインに戻されます。

これらのステップはすべて、開発者の努力なしに行われる。Nexusのこれらの機能は、開発者に可能な限り正確なバージョン勧告を提供し、開発チームがオーバーヘッドなしにソフトウェアサプライチェーンの安全を確保できるよう支援します。

JFrog Artifactoryエンタープライズ統合

Nexus Firewallは、ソフトウェアサプライチェーンに侵入する悪意のあるコンポーネントから組織を保護するために、バイナリリポジトリと接続します。この最新バージョンは、Artifactory Proとの統合を拡張し、JFrog Artifactory Enterpriseをサポートします。マルチノードのデプロイメントを含み、クラス最高の Sonatype 脆弱性データと既知および未知のリスクからの保護を提供します。

匿名開発者ビュー

脆弱なコンポーネントの状況を組織全体で把握することは重要であるため、Sonatype はログインなしでより広範なレポートへのアクセスを可能にしました。Nexus Firewall は、ブロックされたコンポーネントに関する詳細な情報を AppSec、DevOps、および関連チームに提供し、重大度、ライセンスの詳細、問題がトランシティブかダイレクトかを確認できるようになりました。

インサイトがレポートで即座に表示されるため、混乱が少なくなり、平均修復時間（MTTR）が短縮されます。

Sonatypeでオープンソースリスクを軽減

マルウェアを回避し、可能な限り最高の情報でより賢明な意思決定へのサポートは、Nexus Firewallで、迅速かつ安全なアプリケーション開発を維持するためのツールをエンジニアに提供します。
インストールや設定など、詳細はDevSamuraiへご連絡ください。