TOPセキュリティ > Linux FoundationとOpenSSFが打ち出した...

セキュリティ

Linux FoundationとOpenSSFが打ち出したOSSのサプライチェーンセキュリティー計画、そのポイントは(前)

2022/06/21

Chris Hughes CSO

 非営利組織Linux FoundationとOpen Source Security Foundation(OpenSSF)は2022年5月、オープンソースソフトウエアのサプライチェーンのセキュリティー強化に向けた計画「Open Source Software Security Mobilization Plan」を公開した。ソフトウエアのサプライチェーンを狙う攻撃の多発や、その防御に対する関心の高まりを受けて打ち出したものだ。

Credit: Maximusnd / Getty Images
Credit: Maximusnd / Getty Images

 サプライチェーン攻撃は、1カ所に対する攻撃で多数の利用者のエコシステムに影響を及ぼすことができ、攻撃者にとっては魅力的な手段となる。米SolarWindsのIT管理ソフトウエアへの攻撃や、Java用のオープンソースライブラリLog4jの脆弱性でも、こうした攻撃の影響力の大きさは実証された。

 Joe Biden米大統領が21年5月に署名した米国のサイバーセキュリティー強化に関する大統領令にも、ソフトウエアサプライチェーンのセキュリティーを取り上げたセクションがある。政府機関や学術機関、民間企業の見解を踏まえて、米国立標準技術研究所(NIST)がベストプラクティスや指針を公表するよう命じる内容だった。この指針はNISTのサイトで確認できる。

 22年1月にホワイトハウスで開催されたソフトウエアセキュリティーサミットでは、オープンソースソフトウエア(OSS)の防御、エコシステムの強化、ソフトウエア部品表(SBOM)の導入促進について議論があった。連邦政府は購買力の大きさを生かして、セキュアな開発手法の履行を促し、政府機関にソフトウエアを納入する企業に対して、「NIST Secure Software Development Framework(SSDF)」の最新版を遵守するよう求めている。

 こうした取り組みの勢いを維持するためにも、Open Source Software Security Mobilization Planは重要な役割を果たす。主なポイントを見ていこう。

Open Source Software Security Mobilization Planの目標

 この計画では基本的な目標として次の3つを掲げている。

  • OSSの開発段階でのセキュリティーの確保
  • 脆弱性の発見と修正の強化
  • エコシステムでのパッチ適用に要する期間の短縮

 さらに、3つの目標をそれぞれ達成するための具体的なアクションを計10項目打ち出している。計画の文書ではOSSが幅広く使われている現状について言及があり、ソフトウエアスタックの約70~90%はOSSのコンポーネントで構成されているとのデータを紹介。回復力のあるソフトウエアサプライチェーンのエコシステムを構築するためには戦略的投資が必要だと強調している。

↑ページ先頭へ