日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページソフトウェアセキュリティへの新たな希望
マット・アセイ著
InfoWorld 寄稿者 |
2021 年 12 月に発生した Log4j の脆弱性は、ソフトウェア サプライ チェーンが非常に無視されているセキュリティ サーフェス領域として注目を集めました。 それは、私たちのソフトウェア成果物がいかに相互接続されているか、そして私たちのシステムがいかに最も弱いリンクと同じくらい安全であるかを明らかにしました。 また、セキュリティは購入できるものだと私たちは考えているかもしれないが、実際には開発チームとしてどのように機能するかが重要であるという考えも強化されました。
それ以来、私たちは改善を目指して全力を尽くしてきました。
おそらく最も注目に値するのは、Google がオープンソース化した Sigstore プロジェクトが、ソフトウェア アーティファクトの事実上の署名方法となり、Java、Python、Node、Ruby などを含むすべての主要な言語エコシステムで採用されたことです。 これは史上最も早く採用されたオープンソース セキュリティ プロジェクトの 1 つとなり、開発者にソフトウェアの構成要素の起源と出所を決定するための信頼性の「封印」を与えました。
それで、もう到着しましたか?
あまり。 まだ。 2021年5月のホワイトハウス令によって導入されたソフトウェア部品表(SBOM)の概念は、引き続き遠い存在に感じられてきた。 開発者がソフトウェア パッケージの成分リストを共有するためのこの共通語の概念には、複数の新しい形式 (SPDX、CycloneDX) があり、事態を複雑にしています。 さらに悪いことに、SBOM が実際に開発者のワークフローにどのように適合するのか、またそのプロセスで開発者がどのような具体的なメリットを得ることができるのかは明らかになっていません。
これらすべてをまとめ、ソフトウェア署名、SBOM、開発者のワークフローに関する一貫した戦略を策定する緊急性を高め始めているのは、ソフトウェア セキュリティの完全性に対するより厳格な所有権を要求する規制です。
4月に遡ると、サイバーセキュリティ・インフラ庁(CISA)は、新しく提案された安全なソフトウェア開発証明書フォームに関するコメント要請を発表した。このフォームは、ソフトウェア企業のCEOに自社のソフトウェアが安全な環境で構築されていることを証明する責任を課すものであり、信頼できるソースコードのサプライチェーンを維持するために、誠実かつ合理的な努力が払われています。
何が「合理的」とみなされるのでしょうか?
これまでのところ、「合理的な」取り組みとは、FedRAMP のコンテナーの脆弱性スキャン要件と米国国立標準技術研究所の安全なソフトウェア開発フレームワークに規定されているガイドラインのようです。 しかし、新しい自己証明要件のはるかに微妙な、行間を読むような解釈は、ソフトウェアに組み込まれたサードパーティのコードをカバーする条項にあります。 つまり、ソフトウェアプロバイダーは、自社のサプライチェーンで使用している人気のオープンソースが資金も提供されておらず、メンテナンスもされていないことに対して責任を負うことになります。
ちょっと待って、何? ランダムなプロジェクト管理者のコードを担当していますか? どうやら、そうです。 それは「合理的」なのでしょうか?
CISO に関するこの目まぐるしい広がりは、多くの Twitter ミームのネタになっています。
これは、必要に応じて、オープンソースの自由な導入をチェックするための、いくぶん衝撃的なことです。 私は企業がオープンソースを使用すべきではないと言っているのではなく、むしろその逆です。 無料(およびオープンソース)ソフトウェアとしてパッケージ化されている場合も含め、フリーランチは存在しないことを思い出してください。 メンテナのために照明を点灯し続けるために誰かがお金を払う必要があり、誰かが開発者がこのすべての受信オープンソース ソフトウェアを理解できるように支援する必要があります。
チェーンガードはまさにそのような人物かもしれません。
Chainguard は、Sigstore プロジェクトの背後にある元 Google 社員が率いる会社です。 それをすべて開発者向けの一貫したツールチェーンにまとめようとしています。 このスタートアップの初期の取り組みは、ビルド プロセスをロックダウンし、署名、来歴、SBOM などの機能をソフトウェア サプライ チェーンとソフトウェア ビルド プロセスにネイティブにする手順に焦点を当てていました。 昨年、彼らはWolfiとともに、特にサプライチェーンのセキュリティプリミティブを中心に構築された初のコミュニティLinux(非)ディストリビューションを導入しました。 また、スタンドアロン バイナリ、nginx などのアプリケーション、Go や C コンパイラなどの開発ツールの基本イメージである Chainguard イメージもリリースしました。