2022/11/10

2022年11月10日よりマリシャスパッケージ（攻撃者によって作成された悪意のあるコードを含むパッケージ）への対応を開始します。危険度が高く、即時対応が必要なマリシャスパッケージをyamoryで自動検知し、管理・対策が可能となります。

OSS（オープンソースソフトウェア）が普及するなか、マリシャスパッケージ（またはマリシャスライブラリ）と呼ばれる、悪意のあるコードを含むパッケージやライブラリが公開され、それらを誤ってインストールすることによる情報漏えいや改ざん、不正操作などのサイバー攻撃の脅威が高まっています。

実際に、世界中で活用されているnpm（JavaScriptのパッケージリポジトリ）では、過去6ヶ月間で1,300を超えるマリシャスパッケージが検出（※）されるなど、その驚異は身近に迫っています。これらの脆弱性は非常に危険性が高い一方で、目視で確認するのは困難であり、依存関係が複雑であることと、情報収集・共有の難しさから、対策の難易度が高いのが実態です。

これらの脅威からITシステムを守るためには、ソフトウェアサプライチェーンのセキュリティ強化が急務です。

※参照：「npm Threat Report」（White Source Ltd.）

yamoryは、IT システムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスです。独自に構築している脆弱性データベースに、マリシャスパッケージに関連する情報も取り込むことで、自動検知が可能となり、危険度の高いマリシャスパッケージに対して即時対応ができるようになります。

yamoryソフトウェア脆弱性管理の各プランに含まれます。
※本機能に対する追加の費用は発生しません。