2024年度クラウドネイティブセキュリティおよび利用状況レポート
2022年初頭、JavaScriptの人気オープンソースパッケージであるcolors.jsとfaker.jsが改変され、多くのアプリケーションに影響を与えました。
colors.jsはスタイルカスタマイズ、faker.jsはテスト用フェイクデータ生成に使用され、両者とも何億回もダウンロードされています。
faker.jsの最新バージョンは改ざんされ、機能しなくなり、colors.jsは無限ループのバグが発生しました。
これらの問題は、ソフトウェアのサプライチェーンの脆弱性を示し、関連バージョンを削除しステーブルバージョンに戻すことで対処されました。
影響を受けるコンポーネントの存在を軽減するため、イメージスキャンを使用してセキュリティ上の問題を検出することが推奨されます。