Google は、オープンソース ソフトウェアの脆弱性に対処するためのフレームワーク「理解、予防、修正」を提案しました。

オープンソースソフトウェアの台頭に伴い、そのセキュリティはますます重要になっています。しかし、実際には、オープンソースソフトウェアのセキュリティ問題は、サプライチェーン、依存関係管理、アイデンティティ、ビルドパイプラインなど、多くの側面に関係するため、包括的なソリューションを開発することは困難です。これに対し、Googleはオープンソースソフトウェアの脆弱性に対処するためのフレームワーク「Know, Prevent, Fix」を提案しました。このフレームワークは、メタデータとアイデンティティ標準に関するコンセンサスの構築、重要なソフトウェアの透明性とレビューの強化、そして主要タスクを「ソフトウェアの脆弱性の理解」「新たな脆弱性の追加防止」「既存の脆弱性の修正または除去」という3つの領域に分類することを中心としています。

[[380886]]

これらの作業において、フレームワークは、脆弱性データベースを構築するためのインフラストラクチャと業界標準を特定すること、ソフトウェアの依存関係を正確に追跡すること、OpenSSF のセキュリティ スコアカード プロジェクトを通じてオープンソース ソフトウェアのセキュリティ レベルをスコアリングしてドメイン名スクワッティング攻撃に対する防御を支援すること、広く使用されているバージョンの修正を優先することなどの具体的な対策を提案しています。

さらに、このフレームワークでは、「重要な」オープンソース プロジェクト (OpenSSL や主要な暗号化ライブラリなどのソフトウェア) については、重要なソフトウェアへの一方的な変更の回避、主要なソフトウェア関係者の認証、ソフトウェア開発の透明性の向上、ビルド プロセスの信頼性の向上など、より厳格な標準を採用する必要があることを特に強調しています。

「理解・予防・救済」フレームワークの詳細については、公式ブログをご覧ください。

この記事はOSCHINAから転載したものです。

タイトル: Googleがオープンソースソフトウェアの脆弱性に対処するためのフレームワークを提案：理解、防止、修復

この記事のアドレス: https://www.oschina.net/news/129060/google-framework-know-prevent-fix