2022 年のオープンソース セキュリティの反撃
ホームページホームページ > ニュース > 2022 年のオープンソース セキュリティの反撃

2022 年のオープンソース セキュリティの反撃

Apr 28, 2024

マット・アセイ著

InfoWorld 寄稿者 |

12 月初旬、Log4j セキュリティ メルトダウンから 1 周年を迎えました。 それ以来、ソフトウェアの世界は、このようなことが二度と起こらないよう全力で取り組んできました。 ソフトウェア サプライ チェーンのセキュリティにおける欠落部分が埋めら​​れ始め、ようやくある程度の牽引力が見えてきました。

Log4j は、一般的なオープンソースのログ ユーティリティを環境内で実行しているかどうか、またどこで実行しているのかを理解するのに苦労していた多くの組織にとって、壊滅的な出来事でした。 しかし、Log4j はまた、ソフトウェア サプライ チェーンのエクスプロイトの推移的な性質と、ソフトウェアの依存関係を飛び越えてエクスプロイトがいかに簡単であるかを業界に認識させることになりました。 セキュリティ チームにとって、2021 年の締めくくりは楽しいものではありませんでした。

セキュリティベンダーも栄光を誇示することはなかった。 当初、私たちは、自社の製品を直接的なソリューションとして位置づけようと急ぐ、日和見主義的なセキュリティ ソフトウェア マーケティング担当者が急増しているのを目にしました。 しかし、ソフトウェア サプライ チェーン セキュリティのスタートアップである Chainguard の CEO 兼創設者である Dan Lorenc 氏によると、「ほとんどのスキャナーはパッケージ データベースを使用して、コンテナー内にどのようなパッケージがインストールされているかを確認します。 これらのシステムの外部にインストールされたソフトウェアは容易に識別できないため、スキャナーには認識されません。」

言い換えれば、セキュリティ ベンダーは実際のソリューションではなく、考えと祈りを販売していたのです。

誰もがそれほど反応が空虚だったわけではありません。 このソフトウェア サプライ チェーンのセキュリティ課題は、特にオープンソースに関連しています。 現実には、最新のアプリケーションのほとんどは、セキュリティの出自があまり知られていないオープンソース フレームワークを使用して構築されています。 オープンソースのすべてを保護するエンタープライズ ソリューションは存在できません。その方向では機能しません。 答えは、オープンソース コミュニティ自体から得られる必要があるように思えます。 2022年にはそれが実現しました。

ソフトウェア サプライ チェーンのセキュリティに関しては信じられないほどの活動が行われており、2022 年にはオープンソース コミュニティの例が数多く登場しています。

その中には、ソフトウェアのサプライチェーンを保護するためのホワイトハウスの大統領令や、2022 年米国上院のオープンソース ソフトウェア保護法など、歓迎すべきものもありますが、ほとんどが当局からの空虚な公の発信です。これは素晴らしいことですが、ソフトウェアのセキュリティは公の宣言に関するものではありません。 。 幸いなことに、この 1 年で実際に起こっているのは、ソフトウェア開発ライフサイクルのさらに遠いサプライ チェーンのセキュリティに対処するためのツールチェーンを開発者に提供するための多大な労力です。

当然のことながら、Linux Foundation と Cloud Native Computing Foundation は、主要なオープンソース プロジェクトでこれを実現することに深く関わってきました。 たとえば、SPDX SBOM 形式は、Kubernetes などの主要なプラットフォームに導入されています。 Open Source Security Foundation には 100 人を超えるメンバーがおり、より多くの標準やツールの開発に数百万ドルの資金を提供しています。 Rust のようなメモリセーフな言語は、ソフトウェア アーティファクトに関連するあらゆる種類の脆弱性を回避するために、Linux カーネルによってサポートされています。

おそらく、過去 1 年間に崩壊した最も注目すべき個別のテクノロジーは Sigstore です。これは、Google と Red Hat で誕生し、現在ではオープンソース ソフトウェア レジストリに埋め込まれ、事実上の「ワックス シール」となったコード署名ツールです。ツールチェーン。 Kubernetes、npm、PyPi は、Sigstore を署名標準として採用しているプラ​​ットフォームとレジストリの 1 つです。 重要なのは、これらの Sigstore 署名はすべて公開透明性ログに記録されることです。これは、セキュリティ エコシステムがソフトウェア署名、ソフトウェア部品表 (SBOM)、およびソフトウェア サプライ チェーンのセキュリティ来歴ツールチェーン全体の間の点を結びつけ始めるための重要な新しいハートビートです。 。

過去 20 年間、あるいは過去 20 年間、オープンソースに注目していた人なら誰でも、これらの人気のあるオープンソース テクノロジーを中心に商業的関心が高まり始めているのを見て驚くことはないでしょう。 定番になっているように、商業的な成功は通常クラウドと綴られます。 顕著な例の 1 つを次に示します。2022 年 12 月 8 日、創業者が Google 在職中に Sigstore を共同開発した企業である Chainguard は、Chainguard Enforce Signing をリリースしました。これにより、顧客はサービスとしての Sigstore を使用して、自社内のソフトウェア アーティファクトのデジタル署名を生成できるようになります。組織は個人の ID と使い捨てキーを使用します。