オープン ソース コンポーネントの脆弱性 (10 か月前に Log4j 2.0 で明らかになった広範な欠陥など) により、データ サイエンティストは、分析や機械学習モデルの作成で頻繁に使用されるオープン ソース コードの再評価を余儀なくされました。
データ サイエンス プラットフォーム企業である Anaconda のレポートによると、過去 40 年間で、調査対象のデータ サイエンティスト、ビジネス アナリスト、学生の 7% がオープン ソース コンポーネントの使用を縮小し、18 分の 47 は変わらず、わずか XNUMX 人でした。 % は、より多くのオープン ソース コードをプロジェクトに組み込みました。 Anaconda の「2022年データサイエンスの現状」 レポート、先週リリースされました。
ソフトウェア開発者と IT 部門はすでに安全なコードの精査を開始していますが、オープン ソース ソフトウェアのセキュリティに関する懸念は、データ サイエンスの世界では比較的新しい傾向であると、Anaconda の共同創設者兼 CEO であるピーター ワン (Peter Wang) は述べています。
「IT 部門がオープン ソースと Python に対して非常に厳格な姿勢をとっている組織に所属している人々は非常に多くいます」と彼は言います。 「彼らは専門の開発者ではありません。 …彼らはデータ サイエンティストであり、機械学習の専門家であり、開発者としての経験はまったくないかもしれません。ダウンロードできるものは何でも使用して分析を行い、それを IT 部門に引き渡しました。」
オープン ソース コンポーネントのセキュリティ (およびソフトウェア サプライ チェーン全般) は、過去 XNUMX 年間、ソフトウェア開発者、企業、および政府の間で主要な考慮事項になっています。 たとえば、XNUMX 月には、米国国立標準技術研究所 (NIST) ソフトウェアサプライチェーンのリスクに対処するためのガイダンスを発行. さらに、ソフトウェア ベンダーの数も増加しています。 Linux Foundation の Open Software Security Foundation (OpenSSF) に参加.
全体として、組織のセキュリティ対策の成熟度は向上しています。 約半数の企業がオープンソースのセキュリティ ポリシーを導入しており、セキュリティ対策のパフォーマンスが向上しています。 XNUMX月調査によると. さらに、オープンソース リスクを制御する取り組みは、過去 51 か月で 12% も急増しました。 セキュリティの成熟度に関する調査で述べられている 9月21。
Synopsys Software Integrity Group のゼネラル マネージャーである Jason Schmitt 氏は、調査を発表する声明の中で、次のように述べています。 「このようなアプローチは、セキュリティがコードベースに限定されないことを認識しています。 これには、セキュリティの成果を継続的に改善するために、セキュリティのレビューとテストを「あらゆる場所にシフト」するソフトウェア開発のプロセスが含まれます。」
開発者がオープンソースの使用を拡大
他のデータによると、ソフトウェア企業はオープンソースの使用にいかなる種類の減少も見ていません。 代わりに、開発組織は、オープン ソース ソフトウェアのセキュリティを向上させ、コンポーネントを選択する際の主要なガイドとしてセキュリティを使用することに重点を置いています。
の中に "2021 年のソフトウェア サプライ チェーンの状況」 たとえば、Sonatype の報告によると、トップ 37 のオープン ソース エコシステム — Maven Central Repository (Java)、Node.js (JavaScript)、Python Package Index (Python)、および NuGet ギャラリー (.NET) — は 20 万を収容していました。オープンソース プロジェクトとコンポーネント、前年比 2.2% の増加。 これらのコンポーネントの需要も同様に増加しており、73 兆を超えるコンポーネントがダウンロードされ、年間 XNUMX% 増加しています。
Chainguard のオープンソース責任者である Tracy Miranda 氏は、データ サイエンス コミュニティによるオープン ソース パッケージからの自己報告による動きは、セキュリティ問題に対する意識の高まりと、開発中のオープン ソース コンポーネントの投棄に対する意識の低下を示している可能性が高いと述べています。
データ サイエンス チームと開発チームは、主要なセキュリティ問題に対して異なる反応を示した可能性がありますが、— Log4j 2.0 など — 企業は、あるオープンソース パッケージから移行する際に、メンテナーがセキュリティをより重視している別のパッケージを採用する以外にほとんど手段がありません、と彼女は言います。
「企業は速度を上げる方法としてオープンソースを活用しています。したがって、規模を縮小する場合、何に縮小するのでしょうか? 社内でコードを書く? パッケージ化されたサードパーティのバージョンを使用していますか?」 Miranda 氏は、代わりに、「企業が、特にセキュリティ機能に関連して、使用するオープン ソースの品質についてより慎重になることを期待できると思います」と付け加えています。
データサイエンティストは後れを取っています
両者の断絶は、さまざまな調査の対象者が異なることが原因である可能性があります。 Anaconda の調査は、回答者のプログラミング言語の選択からわかるように、データ サイエンスの専門家に焦点を当てています。58% が Python を使用し、42% が SQL を使用し、JavaScript を使用したのはわずか 26% でした。
ソフトウェア開発者の感情のより良い尺度は、StackOverflow の「2022開発者調査」によると、「コーディングを学んでいる人々」の 58% が Python を使用しているのに対し、プロの開発者の 44% だけがその言語でコーディングしていることがわかりました。 一方、StackOverflow の調査によると、プロの開発者の 68% が JavaScript を使用しています。
さらに、データ サイエンスの専門家は圧倒的多数 (87%) がオープンソース ソフトウェアを許可している企業で働いていますが、約 26 分の 18 (XNUMX%) はオープンソースの選択について IT 部門による監視を最小限しか受けていません。 さらに XNUMX% の企業では、IT 部門は利用可能なオープン ソース コンポーネントの約半分しか指定していません。
最も重要なプロジェクト (数千とは言わないまでも数百) のメンテナーは、安全な依存関係を使用し、独自のコードをテストし、貢献者の信頼性を検証する必要があります。 メンテナーは、セキュリティ スコアカードも公開する必要があります — Google が作成したイニシアチブであり、現在は Open Source Security Foundation (OpenSSF) によって管理されています、約 20 の異なる基準に基づいてプロジェクトにセキュリティ グレードを与えます。
意識は高まっているようですが、すぐに解決できる方法はないとミランダは言います。
「現実には、これまでより安全なオプションは存在しませんでした」と彼女は言います。 「不必要な依存関係を減らして攻撃対象領域を減らすことは賢明ですが、依存関係ツリーが大きくなるとそれを行うのは困難です。」