Cyber SecurityのApiiro、新たなオープンソースツールを発表 – 悪意のあるコード検出精度向上

アプリケーションセキュリティポスチャ管理（ASPM）を提供するApiiroは、悪意のあるコードインジェクションやソフトウェアサプライチェーン攻撃を防ぐための2つのオープンソースツールを発表しました。

高精度なコード検出を実現する新ツール
1. Semgrep & Opengrep ルールセット
• 継続的インテグレーション（CI）および継続的デプロイメント（CD）パイプラインで使用可能
• PyPIパッケージで94.3%の精度、NPMパッケージで88.4%の精度を達成
2. PRevent（GitHub統合スキャナー）
• 悪意のあるプルリクエストを特定するツール
• 91.5%の精度で悪意のあるコード変更を検出

両ツールはGitHubで無料公開されており、以下のアンチパターンを利用して悪意のあるコードを識別します。
• エンコーディング、ネスト変換、難読化技術を使用したコード
• 任意コード実行を許可する関数の利用
• リモートからのペイロードダウンロードおよび実行機能の有無
• 機密データ窃取の可能性があるコードの検出

現時点では、コンパイル済みバイナリに隠されたマルウェアの検出やPyPI・NPMパッケージの直接スキャンには対応していません。しかし、今後のアップデートでAIを活用したスキャンや深層コード解析機能が追加予定であるとApiiroは発表しています。