📗
owasp-open-source-software-top-10-ja
  • OWASP Open Source Software Top 10 ja
  • OWASP オープンソースソフトウェア Top 10 日本語版
    • オープンソースソフトウェア Top 10
    • OSS-RISK-1 既知の脆弱性 (Known Vulnerabilities)
    • OSS-RISK-2 正規パッケージの侵害 (Compromise of Legitimate Package)
    • OSS-RISK-3 名前混乱攻撃 (Name Confusion Attacks)
    • OSS-RISK-4 メンテナンスされていないソフトウェア (Unmaintained Software)
    • OSS-RISK-5 古いままのソフトウェア (Outdated Software)
    • OSS-RISK-6 追跡されていない依存関係 (Untracked Dependencies)
    • OSS-RISK-7 ライセンスのリスク (License Risk)
    • OSS-RISK-8 未成熟なソフトウェア (Immature Software)
    • OSS-RISK-9 未承認の変更 (Unapproved Change)
    • OSS-RISK-10 過小または過大な依存関係 (Under/over-sized Dependency)
Powered by GitBook
On this page
  1. OWASP オープンソースソフトウェア Top 10 日本語版

OSS-RISK-2 正規パッケージの侵害 (Compromise of Legitimate Package)

PreviousOSS-RISK-1 既知の脆弱性 (Known Vulnerabilities)NextOSS-RISK-3 名前混乱攻撃 (Name Confusion Attacks)

Last updated 1 year ago

説明:

攻撃者は、たとえば、正規のプロジェクト管理者のアカウントをハイジャックしたり、パッケージリポジトリの脆弱性を悪用することで、既存の正規プロジェクトやディストリビューションインフラストラクチャの一部であるリソースを侵害して、コンポーネントに悪意のあるコードを注入する可能性があります。

悪意のあるコードはエンドユーザーシステム上や、依存するソフトウェアを開発や運用する組織に属するシステム (ビルドシステムや開発ワークステーションなど) 上で実行される可能性があります。システムおよびそのうえで処理や保存されるデータの機密性、完全性、可用性がリスクにさらされます。

事例:

  1. : 正規のコンポーネントに対するこの攻撃は Copay Bitcoin ウォレットのユーザーを標的としていました。

対応:

侵害されたパッケージの取り込みを検出して防止するための単一の対策はありません。組織は Secure Supply Chain Consumption Framework (S2C2F) などの新しい標準やフレームワークを参考にして、考えられるセーフガードについて情報を得ます。個々のセキュリティ要件やリスク選好に応じて、選択と優先順位付けを行う必要があります。

対応例を以下に示します。

  1. SLSA に従ってコンポーネントの来歴を検証します

  2. ソース (自分自身または信頼できるサードパーティ) からコンポーネントをビルドします

  3. 手動や自動でコードをレビューします

  4. 安全な内部ストア (このようなバイナリリポジトリは自作バイナリをホストし、外部バイナリをミラーリングします) からすべてのコンポーネントを取得します

参照:

  1. (S2C2F)

  2. Subvert Legitimate Package (AV-001)

  3. (SLSA)

  4. MITRE ATT&CK

  5. OWASP Top 10 CI-CD Security Risks

  6. OWASP Software Component Versification Standard (SCVS)

Event-stream
SolarWinds Cyber-Attack
Secure Supply Chain Consumption Framework
Risk Explorer for Software Supply Chains
Supply chain Levels for Software Artifacts
T1195.001 Compromise Software Dependencies and Development Tools
CICD-SEC-3: Dependency Chain Abuse
V6 Pedigree and Provenance