|
オープンソースソフトウェアの普及に伴い、オープンソースソフトウェアに対するサプライチェーン攻撃が増加しています。一般的なサプライチェーン攻撃とは異なり、オープンソースソフトウェアは「信頼チェーン」が長く影響力も大きいため、潜在的に破壊力も大きくなります。しかし、多くの開発者や組織は、新しいオープンソースプロジェクトの依存関係を使用する際に、本番環境のセキュリティへの影響を評価していません。あるいは、プロジェクトのセキュリティを反映するデータや情報がないため、評価できない場合もあります。 Googleのような大企業は、この目的のためにガイドラインを策定し、エンジニアに対し、新しいオープンソースの依存関係を導入する際には、特定のシステムルールと手順に従うことを義務付けています。しかし、このプロセスは煩雑で、手作業による介入が必要となり、エラーが発生しやすいという問題があります。ガイドラインが確立されていても、多くのプロジェクトや開発者はリソースに制約があり、セキュリティ関連のタスクを最優先事項としないことが多いため、効果的な実装は依然として課題となっています。その結果、重要なプロジェクトがセキュリティのベストプラクティスを遵守できず、攻撃に対して脆弱な状態になっています。 こうした問題に悩まされた Google は、「Scorecards」と呼ばれる新しいプロジェクトを開発し、先週、Open Source Security Foundation (OpenSSF) によってオープンソースとして発表されました。 Open Source Security Foundation は、Linux Foundation が複数のハードウェアおよびソフトウェア ベンダーと協力して設立したもので、Google はその創設理事の 1 つです。
スコアカードは、OpenSSFが2020年8月に設立されて以来、最初に立ち上げたプロジェクトの1つでもあります。その目標は、オープンソースプロジェクトの「セキュリティスコア」を自動的に生成し、ユーザーがユースケースの信頼レベル、リスク、セキュリティ体制を判断できるようにすることです。 スコアカードは、オープンソースプロジェクトのスコアカードを完全に自動的に生成するために使用する初期評価基準を定義します。スコアカードの各チェック項目は有効化または無効化を制御でき、評価指標には、明確に定義されたセキュリティポリシー、コードレビュープロセス、ファジングおよび静的コード解析ツールを用いた継続的なテストカバレッジなどが含まれます。各セキュリティチェックはブール値と信頼スコアを返します。スコアカードの普及に伴い、GoogleはOpenSSFへのコミュニティ貢献を通じてこれらの指標を改善していきます。 検査項目の詳細についてはドキュメントを参照してください。 この記事はOSCHINAから転載したものです。 タイトル: 2021 年には、多くの Web サイトが古いバージョンの Android では実行できなくなります。 この記事のアドレス: https://www.oschina.net/news/120210/android-encryption-certs |
