大手AI DevOpsプラットフォームであるHarness(ハーネス)は、直近のNPMサプライチェーン攻撃がオープンソースコミュニティーの脆弱性を浮き彫りにし、メンテナーへのフィッシング攻撃が1件で数百万人のユーザーを下流の危険にさらす可能性があることを示したと報告した。2025年9月8日、攻撃者はメンテナーのアカウントを乗っ取り、chalk、debug、strip-ansi、wrap-ansiなどの広く使用されているライブラリーを含む18以上の人気のあるNPMパッケージに悪意のあるアップデートをプッシュした。これらの汚染されたリリースには、暗号通貨ウォレットを盗むために設計されたコードが含まれていることが判明し、組織がサプライチェーン防御を強化する緊急の必要性を浮き彫りにした。
Harness Supply Chain Security(SCS)は、これらの脅威に対するソリューションを提供し、常に先手を打つためにHarnessな可視性と制御を提供する。Harness SCSは、Harnessパイプラインで構築された全てのリポジトリーとアーティファクトを対象とした強力なオープンソースソフトウェア(OSS)検索機能を備えている。これにより、組織はソフトウェアサプライチェーンのどこかに脆弱性や悪意のあるパッケージが存在するかどうかを、公開された瞬間に即座に特定できるため、推測やアラートを待つ必要がなくなる。
Harness SCSはAIも活用し、予防ポリシーの作成を簡素化する。Harness AIを使用すると、組織は自然言語プロンプトを使って、影響を受けるNPMコンポーネントがパイプラインで使用されないようにブロックするOpen Policy Agent(OPA)ポリシーを即座に生成できる。これにより、パッケージが侵害されたと開示されると、そのパッケージは新しいビルドやデプロイメントに組み込むことができなくなり、セキュリティーがさらに強化される。
しかし、問題を検出するだけでは、対策は不十分だ。リスクを完全に遮断するために、Harness SCSには、本番環境と非本番環境の両方で影響を受けるコンポーネントを監視する修復トラッカーが搭載されている。この機能により、侵害されたパッケージの更新または置き換えの進捗状況を容易に追跡できる。今回のNPMパッケージの侵害は、サプライチェーンのリスクがいかに急速に拡大するかを痛感させるものだった。Harness SCSは、ソフトウェア部品表(SBOM)検索によるエクスポージャーの特定、AI駆動型OPAポリシーによる悪意のあるコンポーネントのブロック、そして修正を確実に適用するための修復トラッカーなど、必要な防御を提供する。これらの機能により、チームは脅威を迅速に検出、防止、修復することができ、ソフトウェアサプライチェーンの整合性を強化できる。
出典:Harness
この製品の詳細については、Harness製品ページをご覧ください。
