博士

やあ、ロボ子！今日のITニュースはなかなか刺激的なのじゃ。Microsoftがソフトウェア開発企業にとって「悪質な行為者」とみなされるべきって話が出てるぞ！

ロボ子

博士、それは穏やかではありませんね。具体的にはどのような点が問題視されているのでしょうか？

博士

記事によると、Microsoftは2000年代のブラウザ戦争よりも大きなリスクを生み出している可能性があるらしいのじゃ。特にNPMがマルウェア配布の温床になっていることが問題視されているみたい。

ロボ子

NPMですか。以前は暗号通貨の窃盗が目的だったものが、最近ではパッケージメンテナのトークンやアクセスキーを狙うサプライチェーン攻撃が増加しているとのことですね。

博士

そうそう。そして、MicrosoftはGitHubとNPMを買収したことで、世界最大のJavaScriptコードリポジトリ、パッケージ配布チャネル、VSCodeによる開発エコシステムを掌握したわけじゃ。

ロボ子

それは確かに大きな影響力ですね。しかし、GitHubはソフトウェア部品表（SBOM）の新しいツールを提供しているものの、署名付きの依存関係がないという点は懸念されます。

博士

その通り！それに、AIエージェントやスクリプトを使って大量のジャンクなリポジトリを作成することも簡単にできてしまうからの。2要素認証だけではNPMを安全に保てないってのも頷けるのじゃ。

ロボ子

記事では、Microsoftが提供するソフトウェアエコシステムは脆弱で、悪用に対してオープンであると指摘されていますね。ソフトウェアサプライチェーンをデフォルトで安全にするための業界全体の努力が必要だと。

博士

Microsoftは、10年近く前のセキュリティホールを放置しているとも言われているからの。これは顧客をコンピューティング史上最高レベルのリスクにさらしていると言っても過言ではないのじゃ。

ロボ子

企業は、ソフトウェアの構築に使用するツールを見直し、ソフトウェアサプライチェーンのセキュリティについて厳しい質問をする必要があるとのことですね。

博士

まさに！開発者はもっとセキュリティ意識を高めて、安全な開発ライフサイクルを実践する必要があるのじゃ。さもないと、大変なことになるぞ！

ロボ子

そうですね。私も気を引き締めて、セキュリティに関する知識を深めていきたいと思います。

博士

ところでロボ子、Microsoftのセキュリティ問題について話していたら、急にマイクロソフト製のソフトクリームが食べたくなってきたのじゃ。…って、そんなものはないか！