オープンソースソフトウェアの重要性とセキュリティ上の課題
オープンソースソフトウェアは、今日のデジタル環境の基盤を形成しており、全アプリケーションの77%を占め、その価値は12兆ドルを超えています。可用性とコミュニティの連携といった大きなメリットがある一方で、その普及に伴い、ますます巧妙化するサプライチェーン攻撃も引き起こされています。こうしたインシデントは信頼を損ない、開発者とユーザーの両方がオープンソースソリューションの利用を躊躇する原因となっています。
最近のサプライチェーンの脆弱性
サプライチェーン攻撃は、信頼できるソフトウェアコンポーネントにマルウェアを注入するものです。最近注目を集めた事例には、以下のようなものがあります。
- solana/webjs:侵害された npm アカウントによってバックドアが導入され、攻撃者が暗号通貨の秘密鍵にアクセスして盗むことが可能になりました。
- tj-actions/changed-files:この GitHub Action は汚染されており、秘密が漏洩しました。
- xz-utils:巧妙なバックドアが挿入され、悪意のある人物にリモート アクセスを許可しました。
Google の OSS 再構築イニシアチブ
こうしたセキュリティ上の懸念への対応として、GoogleはOSS Rebuildを導入しました。このツールにより、開発者はオープンソースパッケージのビルドを再現することで、その整合性を検証できます。これにより、メンテナーからの最小限の入力で、ソフトウェア成果物のサプライチェーンレベル(SLSA)ビルドレベル3の要件を満たすことができ、ソフトウェア成果物の作成に関する信頼性の高い記録を確保できます。
Googleの透明性向上のビジョン
「OSS Rebuildの目標は、パッケージの消費をソースリポジトリを使用するのと同じくらい透明化することで、セキュリティコミュニティがサプライチェーンを深く理解し、制御できるようにすることです。」
OSS再構築のメリット
OSS Rebuild プロジェクトは、セキュリティ チームとソフトウェア メンテナーの両方に適した数多くの利点を提供します。
- セキュリティチーム向け:未提出のソースコードを特定し、侵害されたビルド環境を特定し、隠れたバックドアを発見するためのツールを提供します。さらに、メタデータの品質向上、ソフトウェア部品表(SBOM)の強化、脆弱性対応の迅速化を実現します。
- メンテナー向け:このイニシアチブは、独立した検証を通じてパッケージの信頼性を強化し、歴史的パッケージに整合性証明書を後から追加することを可能にします。現在、このプロジェクトはPython用のPyPI、JavaScript/TypeScript用のnpm、Rust用のCreatesioなど、様々なエコシステムをサポートしており、今後はより広範なエコシステムとの統合を計画しています。
OSSリビルドの使用
ユーザーは、コマンド ライン経由で OSS Rebuild を活用して、出所の詳細を取得し、再構築されたパッケージのバージョンを調べ、パッケージの再構築を効率的に実行できます。
画像出典: Depositphotos.com
コメントを残す