11月 12日 -14日、Dockerチームは JFrog SwampUP Berlin 2025に多くの集まりを行っていました。技術セッションに参加し、暖炉のそばで話し合い、参加者と会話を交わしました。JFrogの皆さんに、私たちを招いて素晴らしいショーを開催してくださったことに心から感謝します!
ここでは、 ソフトウェアサプライチェーンのセキュリティトレンドについて、イベントから得たポイントをご紹介します。
オープンソースパッケージを活用したソフトウェアサプライチェーン攻撃は前例のない規模に達しています
JFrogのCTOアサフ・カラスによる最近のソフトウェアサプライチェーン攻撃の分析は、悪意ある攻撃者がAIやソフトウェアサプライチェーンをどのように悪用しているかを明らかにしています。最近の攻撃では、フィッシングのような既存の手法と、再帰的にコードを書き実行するAIプロンプトを組み合わせて、人気のあるオープンソースパッケージを実行する数十万のシステムを侵害しようとしています。例としては、Shai Hulud、Red Donkey、そして最近のNPMパッケージのフィッシング攻撃があります。これまでのところ、これらの攻撃の規模にもかかわらず、これらの攻撃がまだ初歩的な性質であるため被害は限定的です。今後1年でソフトウェアサプライチェーン攻撃が増え、より高度な技術が期待されます。
セキュリティ層としてのガバナンスの新たな役割
ソフトウェアサプライチェーン攻撃を避ける最善の方法は、そもそも悪意のあるコードがソフトウェアサプライチェーンに侵入しないようにすることです。そこでガバナンスが関わってきます。依存性スキャン、ビルドパイプライン、デプロイなど、ソフトウェア開発ライフサイクル中にゲートポイントの制御を取るだけでは不十分です。悪意のあるまたはリスクの高いコードがソフトウェアのサプライチェーンに入る前にブロックする必要があります。それだけでなく、ツールはあらゆる潜在的な攻撃ベクトルを検出するために相互運用性の向上も求められます。
AI開発におけるMCP課題への対応
MCPがLLMクライアントを多様なサーバーに接続することで決定論的・非決定的な結果の両方を活用できる能力は、企業が顧客に価値をもたらすアプリケーションを構築するためにこの技術に賭けている主な理由のようです。さらに、各サーバーが独立して動作できるため、MCPサーバーにガバナンス層を追加することも可能となり、幻覚や予期せぬ結果のリスクを減らします。全体として、私たちはJFrogの評価に同意し、DockerとJFrog MCP技術が連携し、より安全でスムーズなエンタープライズAI開発者体験を実現できる機会を楽しみにしています。
強固なオープンソースの基盤を築くことがAI時代の核心です
JFrogの最高戦略責任者であるGal Marder氏とDockerのプロダクト担当副社長Michael Donovan氏によるファイヤーサイドチャットでは、組織が未検証のオープンソース依存リスクから自らを守る方法について探りました。彼らは、強固な基盤から始めることの重要性を強調しました。すなわち、硬化したイメージを使用し、ライフサイクル全体、そして寿命を迎えたものも含めて維持し、あらゆる段階での可視性とガバナンスを確保することです。この複雑さを効果的に管理し、開発から納品までのセキュリティと信頼を拡大するためには、強力なサードパーティ統合が不可欠です。
結論:強固な基盤を築き、継続し、先を行くこと
ソフトウェア開発は急速に変化しており、AIは開発者も攻撃者も含めてすべての人のワークフローの一部となっています。先を行く最善の方法は、強固な基盤から早期に保護を構築し、ガバナンス、可視性、強固なパートナーシップを通じて各段階で一貫性を保つことです。そうして初めて、チームは環境の変化に応じて自信とスピードを持ってイノベーションを遂げることができます。ワクワクする時代ですね!
さらに詳しく
- Docker Navigatorニュースレターの購読
- MCP カタログの探索: コンテナ化されたセキュリティ強化された MCP サーバーを検出する
- DHIカタログを探る:安全でミニマル、本番対応のコンテナ画像を発見
- Dockerパートナープログラム:信頼できるパートナー、ツール、統合を発見
- Dockerは初めてですか?アカウント作成
- 質問がありますか? Dockerコミュニティはサポートするためにここにいます
