background background

ソフトウェアサプライチェーン
現状調査 2025

拡大し続ける脅威が、
ソフトウェアの信頼性を揺るがしています
1,400名以上のセキュリティ・DevOps専門家への調査、JFrog Security Researchチームの分析、そしてJFrog Platformの実データを組み合わせ、現在のソフトウェアサプライチェーンの実態を明らかにしました。
調査結果のプレビューは次のとおりです。調査結果の主なポイント:
  • オープンソースのリスクは、数百万の新規パッケージの登場により爆発的に増加
  • CVEデータの限界により、脆弱性の深刻度や影響範囲が不透明に
  • 組織で使用されるセキュリティツールは増え続け、管理の複雑さが増大
  • 使用しているソフトウェアの「出所」を完全に把握できていない組織が多数存在
  • AIソフトウェアサプライチェーンは急速に拡大する一方、新たなリスクも増加

今すぐレポートをダウンロードする

JFrog「State of the Union」レポートで明らかになった事実:

0
新規パッケージ
一般的な組織が年間に導入する新規パッケージ数。毎月約38個の新しいパッケージが環境に追加されています。
詳しく見る
0
検出されたシークレット
Docker Hub、npm、PyPI全体で大量の機密情報を検出。その多くが現在も有効なまま放置されています。
詳しく見る
0
+
セキュリティツール
70%以上の組織が利用し、半数近くが10種類以上のツールを併用しています。
詳しく見る

エコシステム全体の成長

公開レジストリを調査したJFrog Catalogのデータによると、Docker Hubは依然として最大のエコシステムです。2023年の急成長に比べ2024年はやや鈍化したものの、約200万件という膨大な数の新規パッケージが追加されました。
詳しく見る
2024
2023
2022
2021
src=
src=
src=
src=
src=

CVSSだけでCVEを判断すべきではありません

JFrog顧客で使用されている主要コンポーネントと技術から抽出した183件の「High」および「Critical」CVEを分析した結果、実際に悪用可能性が高かったのは27件(15%)のみで、適用率は80%以上でした。
詳しく見る
63.9% 21.3% 14.8%
183
注目度の高いCVE
適用率の低いCVE
(0% - 20% applicability)
適用率が中程度のCVE
(20% - 80% applicability)
適用率の高いCVE
(80% - 100% applicability)

ソフトウェアサプライチェーンの
最新動向を把握しませんか?

過去のレポートはこちらから
Software Supply ChainState of the Union 2023
2023年のプロジェクトの情報提供のために、現在使用されている主要なソフトウェアコンポーネント
2023年のレポートをダウンロードする
Software Supply ChainState of the Union 2024
革新から浸透に:ソフトウェアエコシステムに潜む危険から保護する
2024年のレポートをダウンロードする