TOPセキュリティ > Linux FoundationとOpenSSFが打ち出した...

セキュリティ

Linux FoundationとOpenSSFが打ち出したOSSのサプライチェーンセキュリティー計画、そのポイントは(前)

2022/06/21

Chris Hughes CSO

目標1:OSSの開発段階でのセキュリティーの確保

 1つ目の目標の狙いは、セキュリティーが不十分なコードの問題を根本から抑制することにある。セキュリティーの知識を広く行き渡らせ、ソフトウエア開発ライフサイクル(SDLC)の最初の段階からセキュアなコードを作成できるように開発者を啓発する必要がある。この目標を達成するためのアクションとしては以下が挙がっている。

 ・セキュアな開発についての教育と認定資格を無料または安価で提供する。例としてはOpenSSFの無料講座「Secure Software Development Fundamentals」が出ている。こうした学習の手段を用意し、教育界や業界を通じて導入を推進することで、開発におけるセキュリティー意識を高めることができる。

 ・上位のOSSコンポーネント1万種類について、客観的な指標に基づくリスク評価を取りまとめたダッシュボードを構築する。使用頻度が高いOSSコンポーネントのセキュリティーの状況を業界全体で把握しやすくなり、「Security Scorecard」のような役割を果たせる。また、よく使うOSSコンポーネントのセキュリティーに対する業界全体の意識向上にもつながり得る。さらに、OSSコンポーネントを使用するソフトウエアベンダーや、ソフトウエア資産のインベントリを作成する下流の利用者にとっても情報源となる。こうした利用者はインベントリの作成にあたって、まずはベンダーに対し、ソフトウエア部品表(SBOM)やSaaS部品表(SaaSBOM)、社内の開発の取り組みについて確認を行う。

 ・ソフトウエアリリースに対する電子署名の導入を加速する。ソフトウエアの開発者や利用者にとっては、使用しているOSSコンポーネントについて一定の検証が可能となる。今回の計画の文書で補遺の部分を見ると、ソフトウエア開発への署名推進を目指すプロジェクト「sigstore」への言及が見られる。また、セキュリティーフレームワーク「SLSA(Supply chain Levels for Software Artifacts)」や、ワークロードのIDと証明についても言及がある。こうした面に関しては米Chainguardや米TestifySecといった企業が動きを見せている。

 このほか、開発者に対する教育と同じような形で、脆弱性の排除に向けて講じられる策はほかにもある。ポイントの1つはメモリーセーフではない言語からの脱却だ。主な例としてはC/C++からGoやRustといった言語への移行が挙げられる。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ