米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、オープンソースセキュリティ財団(OpenSSF)のソフトウェアリポジトリのセキュリティを強化するための新しいフレームワークを発表しました。このフレームワークは「パッケージリポジトリセキュリティの原則」と呼ばれ、パッケージマネージャーに基本的なルールを設定し、オープンソースソフトウェアエコシステムをさらに強化することを目的としています。
OpenSSFは、「パッケージリポジトリは、攻撃を防止または軽減するためのオープンソースエコシステムにおいて重要な役割を果たしている」と述べています。フレームワークは、認証、認可、一般的な機能、コマンドラインインターフェース(CLI)ツールの4つのカテゴリーにわたるパッケージリポジトリの4つのセキュリティ成熟度レベルを定義しています。レベル0は非常に低いセキュリティ成熟度を、レベル1は基本的なセキュリティ成熟度(例:多要素認証(MFA)の導入やセキュリティ研究者による脆弱性報告の許可)を、レベル2は中程度のセキュリティ(例:重要なパッケージに対するMFAの要求や既知のセキュリティ脆弱性に対するユーザーへの警告)を、レベル3は高度なセキュリティ(例:すべてのメンテナーに対するMFAの要求やパッケージのビルドプロベナンスのサポート)を意味します。
このフレームワークの最終目標は、パッケージリポジトリが自身のセキュリティ成熟度を自己評価し、時間をかけてセキュリティ改善計画を策定することを可能にすることです。OpenSSFは、「セキュリティの脅威は時間とともに変化し、それらの脅威に対処するセキュリティ機能も変化する。私たちの目標は、パッケージリポジトリがより迅速にセキュリティ機能を提供し、エコシステムのセキュリティを強化するのを支援することである」と述べています。
また、米国保健福祉省のヘルスセクターサイバーセキュリティ調整センター(HC3)は、患者記録、在庫管理、処方箋、請求などの管理に使用されるオープンソースソフトウェアによるセキュリティリスクについて警告しています。HC3は2023年12月に公開された脅威ブリーフで、「オープンソースソフトウェアは現代のソフトウェア開発の基盤であるが、しばしばソフトウェアサプライチェーンにおける最も弱いリンクでもある」と述べています。
【ニュース解説】
米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)とオープンソースセキュリティ財団(OpenSSF)が、パッケージリポジトリのセキュリティを強化するための新しいフレームワーク「パッケージリポジトリセキュリティの原則」を発表しました。このフレームワークは、オープンソースソフトウェアのエコシステムを保護するための基本的なルールを設定し、パッケージマネージャーのセキュリティを強化することを目指しています。
このフレームワークは、認証、認可、一般的な機能、コマンドラインインターフェース(CLI)ツールの4つのカテゴリーにわたり、パッケージリポジトリのセキュリティ成熟度を4つのレベルに分けて定義しています。レベル0からレベル3まで、セキュリティの成熟度が高まるにつれて、より厳格なセキュリティ要件が求められます。例えば、レベル1では多要素認証(MFA)の導入やセキュリティ研究者による脆弱性報告の許可が含まれ、レベル3ではすべてのメンテナーに対するMFAの要求やパッケージのビルドプロベナンスのサポートが求められます。
この取り組みの背景には、オープンソースソフトウェアが現代のソフトウェア開発において不可欠な役割を果たしている一方で、ソフトウェアサプライチェーンにおけるセキュリティの弱点となっている現状があります。特に、患者記録や在庫管理などの重要な情報を扱うシステムでオープンソースソフトウェアが使用される場合、セキュリティリスクはさらに高まります。
このフレームワークの導入により、パッケージリポジトリの運営者は自身のセキュリティ成熟度を自己評価し、セキュリティ改善計画を策定することが可能になります。これにより、オープンソースソフトウェアエコシステム全体のセキュリティが強化され、サイバー攻撃による被害のリスクを低減できると期待されます。
しかしながら、多くのパッケージリポジトリが非営利組織によって運営されているため、資源の制約がこのフレームワークの実装における課題となり得ます。セキュリティの向上は重要ですが、それに伴うコストや労力をどのようにバランスさせるかが、今後の大きな課題となるでしょう。
長期的には、このフレームワークが広く採用されることで、オープンソースソフトウェアのセキュリティが大幅に向上し、サイバーセキュリティの脅威に対する全体的なレジリエンスが高まることが期待されます。また、この取り組みは、オープンソースコミュニティと政府機関が協力してサイバーセキュリティの課題に取り組む良い例とも言えるでしょう。
from CISA and OpenSSF Release Framework for Package Repository Security.
“CISAとOpenSSF、オープンソースのセキュリティ強化へ新フレームワーク発表” への1件のコメント
このような取り組みは、今の時代に非常に重要だと感じます。私自身は技術の専門家ではありませんが、孫たちがインターネットを使うことが多いのを見て、セキュリティの問題には常に注意を払うようにしています。特にオープンソースソフトウェアは無料で手軽に使えるため魅力的ですが、それがセキュリティの脆弱性を持つことがあると聞いて心配していました。
「パッケージリポジトリセキュリティの原則」というこの新しいフレームワークは、そういった不安を少し和らげてくれるように思います。オープンソースソフトウェアエコシステムを守るための基本的なルールを設定し、そのセキュリティを段階的に高めていくというのは、とても合理的なアプローチだと思います。特に、多要素認証(MFA)のような基本的なセキュリティ対策が取られることは、セキュリティ意識の高まりを感じさせます。
しかし、この記事にもあるように、非営利組織が運営するパッケージリポジトリにとって、資源の制約が大きな課題となることが予想されます。セキュリティの向上は確かに重要ですが、それに伴うコストや労力をどのようにバランスさせるかは、実際に運営する側にとって大きな問