今日は、 Aikido がRootを買収しました。🚀
オープンソースは、世界中のほぼすべてのアプリケーションを支えていますが、攻撃者にとっては主要な侵入経路となっています。ソフトウェアのサプライチェーンは、今まさに攻撃の標的となっています。(……猫ミーム……またしてもサプライチェーン攻撃に目覚める……)
攻撃者の動きもますます速くなっています。AIの登場により、ほとんどのチームがパッチを適用する間もなく、エクスプロイト コストが低下しています。既知の脆弱性の3分の1近くが、公開当日またはそれ以前に悪用されています。一方、2021年に発見されたお馴染みの「Log4Shell」は、現在もなお数百万もの本番環境で稼働し続けています。
しかし、ほとんどのチームは、どれもうまくいかない3つの選択肢の中から選ぶしかなく、行き詰まっている:
- アップグレードを行い、本番環境が破損するリスクがある
- ベンダーがロックダウンした代替製品へ移行する
- 脆弱性のあるソフトウェアを使い続ける
現実には、アップグレードは決して簡単なことではありません(驚くことではないでしょう)。依存関係の更新によって本番環境が停止したり、無関係な変更が数十件も巻き込まれたり、まだ存在しないバージョンに依存したり、さらにはそれ自体が新たな脆弱性を生み出したりすることさえあります。たとえすべてが順調に進んだとしても、アップグレードには数週間ものエンジニアリング時間が費やされます。
事実として、オープンソースにはパッチが必要であり、それも早急に施す必要がある。
Rootは、エージェントネイティブのアプローチにより、このサプライチェーン上の課題を解決しています。単に脆弱性を発見するだけのエージェントではなく、チームが実際に運用しているパッケージのバージョンに対して、エージェントがマシン並みの速度で正確なCVEパッチを生成する、工場のようなシステムを構築しました。
その結果は?毎日、何百もの検証済みのCVEパッチが生成されています。
なんと――これには互換性を損なう変更は一切含まれていません。
「業界は依然として『トリアージ』の段階から抜け出せておらず、膨大なCVEリストを前に、どれを先に修正すべきか議論を繰り返している。さらに悪いことに、チームに対して既存のイメージを破棄し、他社のものを用いて一からやり直すよう指示することさえある」と、Rootの共同創業者兼CEOであるイアン・リオペル氏は語る。「私たちは、そうした議論を省き、その場で問題を解決するためにRootを開発した。これは『閉鎖的な環境』と『オープンソースへの真の支援』のどちらを選ぶかという問題だ。私たちはオープンソースを選んだ。」
今回、その機能を Aikidoに取り入れています。
今回、 Aikido ライブラリ および Aikido Images:脆弱性、移行を必要とせず、そして何よりも互換性を損なうことなく、ソフトウェアチームがすでに運用しているシステムにパッチをコンテナイメージ ドロップイン置換可能なライブラリとコンテナイメージ 。
すでに生産が開始されており、どなたでもご利用いただけます Aikido のお客様にご購入いただけます(画像カタログはこちら をご覧ください)
新しいCVEが公開された際には、お客様のシステムおよびお使いのバージョンに最適なパッチを生成します。これにより、常に保護された状態を維持します。
ちなみに、「オープンソース向けの非公開パッチ」というのは見出しではありません。
現在悪用されている脆弱性に対する重要な修正は、今後もコミュニティやエコシステム全体の上流へと還元され続け、有料コンテンツとしてロックされることはありません。ソフトウェアサプライチェーンのセキュリティ問題を解決するためには、顧客だけでなく、エコシステム全体のセキュリティを強化する必要があります。
「オープンソースのメンテナーたちは、世界が依存するプロジェクトを稼働させ続けようと奮闘する一方で、セキュリティ対策に追われきっている」と、NodeSourceのCTOであり、OpenJSの取締役、Node.jsのコアコントリビューターでもあるエイドリアン・エストラーダ氏は語る。「Aikido とRootは、修正プログラムをバックポートしてアップストリームに提供することで、私たちの負担を軽減してくれています。」
ようこそ Aikido、Rootへようこそ。そして、Rootの共同創業者であるイアン、ジョン、ベンジー、ミッキー、そしてRootチームの皆さんにも、心より歓迎の意を表します!
その使命とは? 開発者たちに再び開発に専念してもらうこと。
Madeline (Aikido)より
{{cta}}
