TOPセキュリティ > Linux FoundationとOpenSSFが打ち出した...

セキュリティ

Linux FoundationとOpenSSFが打ち出したOSSのサプライチェーンセキュリティー計画、そのポイントは(後)

2022/06/23

Chris Hughes CSO

 非営利組織Linux FoundationとOpen Source Security Foundation(OpenSSF)は2022年5月、オープンソースソフトウエアのサプライチェーンのセキュリティー強化に向けた計画「Open Source Software Security Mobilization Plan」を公開した。ソフトウエアのサプライチェーンを狙う攻撃の多発や、その防御に対する関心の高まりを受けて打ち出したものだ。

前回から続く)

目標2:脆弱性の発見と修正の強化

Credit: NoLimit46 / GettyImages
Credit: NoLimit46 / GettyImages

 商用ソフトウエアや、政府機関が共通で使うソフトウエアに関しては、バグ報奨金プログラムの類いが脆弱性の発見と修正を促す役割を果たしている。しかし、OSSのエコシステムには一般にこうしたものがなく、状況にギャップがある。OSSのメンテナーには報酬を得ていないボランティアが多い。今回の計画の文書では、重要なOSSコンポーネントやプロジェクトに関して、脆弱性の発見と修正の両方を改善するための投資が必要だと訴えている。

 この目標に対するアクションの1つ目は、インシデント対応チーム「OpenSSF Open Source Security Incident Response Team」の設置だ。このチームに予算を与え、上記のギャップを緩和する役割や、見つかった脆弱性の解消についてOSSプロジェクトを支援する役割を果たしてもらう。特に、人員不足のプロジェクトや、迅速な解決に必要な手段が整っていないプロジェクトは支援の対象となる。こうしたアクションで脆弱性の出現自体を防げるわけではないが、解決の促進にはつながり、利用者へのパッチや修正プログラムの提供をスピードアップできる。

 この目標の2つ目のアクションは、脆弱性の抑制に必要なインフラとツール、セキュリティー人材の提供という面に関して、セキュリティーツールベンダーやクラウドサービスプロバイダーなどがOSSプロジェクトのメンテナーを支援するというものだ。メンテナーの中には脆弱性に対処するためのこうしたツールやノウハウを十分に利用できる状況にない人も多い。

 この目標の3つ目のアクションは、重要性が高い最大200種類のOSSコンポーネントに関して、サードパーティによるコードレビューを年1回は実施するというもの。セキュアなコードについての専門知識があり、プロジェクトに直接関与していない人がコンポーネントをレビューして、対処が必要な脆弱性を特定する。

 この目標の4つ目のアクションは、重要性が高いOSSコンポーネントを特定する方法を業界全体として改善するというもの。組織間にまたがったデータ共有の強化や、調査に関する協力が必要となる。

↑ページ先頭へ