Myrror Securityは、組織がサプライチェーンのリスクを検出、優先順位付け、対策するための革新的なソリューションを開発しています。このツールは、伝統的なSCAツールと異なり、バイナリからソースコードへの分析を使用して、コードベース内のサードパーティパッケージごとに影響範囲のある脆弱性を特定します。また、プロダクションで実際に到達可能な脆弱性を特定するアルゴリズムを使用し、セキュリティの問題を正確に優先順位付けします。
Myrrorは、既存のソースコード管理プラットフォームに簡単にインストール可能で、組織の依存関係の発見プロセスを開始し、特定のリポジトリを選択してアクティブな脆弱性とサプライチェーン攻撃のスキャンを行うことができます。ディスカバリーセクションでは、コードベースに関連するサプライチェーンリスクを把握し、使用しているオープンソースの依存関係を確認できます。
Myrrorのダッシュボードは、リポジトリ、依存関係、および問題に関する情報を提供します。問題画面では、問題が実際の深刻さ、到達可能性、および悪用可能性に基づいて優先順位付けされ、詳細な情報が提供されます。さらに、すべての問題を組み合わせた「All」タブ、優先順位付けされた問題が表示される「recommended」タブ、および後で対処できる問題が表示される「Low Risk」タブがあります。
Myrrorは、脆弱性だけでなく、タイポスクワッティング、依存関係の混乱、悪意のあるコードの挿入、CI/CD攻撃など、さまざまなサプライチェーン攻撃も検出します。これらの攻撃の検出と対策には、通常の脆弱性とは異なるアプローチが必要であり、Myrrorはそれに対応しています。
Myrrorは、パッチ適用時に導入される新しい脆弱性の数、リメディエーションプロセス中に残る問題の数などを自動的に計算し、問題のリメディエーションプロセスを簡素化します。このツールのReachabilityベースの優先順位付けは、脆弱性に対する解決策を提供し、バイナリからソースコードへの分析機構は、単純な脆弱性だけでなく、さまざまなサプライチェーン攻撃に対しても防御することができます。Myrrorは、アプリケーションセキュリティチームにアラートの疲労感を軽減し、サプライチェーン攻撃に対する保護を提供します。
【ニュース解説】
現代のソフトウェア開発では、サプライチェーンを通じたセキュリティリスクが増加しています。これは、開発プロセスにおいて外部からのコードやライブラリが頻繁に取り入れられるため、新たな攻撃ベクトルが絶えず生まれることに起因します。このような状況の中で、開発者やアプリケーションセキュリティ(AppSec)チームは、セキュリティ上の脆弱性を特定し、優先順位をつけ、修正するという膨大な作業に直面しています。
伝統的な静的コード解析(SCA)ツールは、脆弱性の検出と優先順位付けにおいて、組織特有の文脈を考慮せず、一般的なリスクスコアリングに依存していました。これにより、実際の影響を考慮せずに脆弱性のスコアリングを行うため、組織にとって本当に重要なセキュリティ問題の特定が困難になっていました。また、サプライチェーン攻撃の多く、例えばタイポスクワッティングや悪意のあるコードの挿入、CI/CD攻撃などに対しては、これらのツールが十分な対応をしていないという問題もありました。
このような課題に対応するために、Myrror Securityは、組織がサプライチェーンリスクをより効果的に検出、優先順位付け、対処できるようにする革新的なソリューションを開発しました。Myrrorは、バイナリからソースコードへの分析を利用し、コードベース内の各サードパーティパッケージに対して、プロダクション環境で実際に到達可能な脆弱性を特定する独自のアルゴリズムを使用しています。これにより、実際のセキュリティ問題に対してより正確な優先順位付けが可能になります。
Myrrorの導入により、AppSecチームや開発者は、アラートの疲労感を軽減し、より効率的に作業を進めることができます。また、サプライチェーン攻撃に対する防御力を高めることができるため、組織全体のセキュリティ体制の強化に貢献します。
しかし、このような革新的なツールの導入には、組織内での適切な知識と理解が必要です。また、新しい技術やツールに依存しすぎることなく、セキュリティ対策の基本に忠実であることも重要です。さらに、サプライチェーン攻撃の脅威は日々進化しているため、Myrrorのようなツールを活用しつつも、セキュリティ対策を常に最新の状態に保つ必要があります。
最終的に、Myrror Securityのようなツールは、サプライチェーンリスクの管理と脆弱性対策の効率化に大きく貢献することができますが、組織のセキュリティ体制を総合的に強化するためには、技術的な対策だけでなく、人的な側面やプロセスの改善も同時に進めることが重要です。
from Hands-on Review: Myrror Security Code-Aware and Attack-Aware SCA.
