New Google Scorecards Tool Scans Open-Source Software for More Security Risks
2021/07/02 TheHackerNews — Google がオープンソースとして主導する、リスクスコアを自動作成すセキュリティ・ツール Scorecards がアップデートされた。このバージョンでは、チェック機能が改善され、生成されたデータの分析機能が強化されている。この木曜日に Google の Open Source Security Team は、「今日、多くのソフトウェアがオープンソース・プロジェクトに依存しているため、依存関係が安全かどうかを判断するための、簡単な方法が必要とされている。
Scorecards は、サプライチェーンのプロジェクトを維持するときに欠かせない、変化していくパッケージの継続的な評価のために必要な、労力と手作業を軽減することが可能だ」と述べている。Scorecards は、オープンソース・プロジェクトのセキュリティ態勢の分析を自動化し、セキュリティの健全性を示す指標を用いて、他の重要なプロジェクトのセキュリティ態勢を、積極的に改善することを目的としている。これまでに、このツールは50,000 以上のオープンソース・プロジェクトの、セキュリティ基準を評価するまでに拡大されている。
新たに追加された項目は、悪意の作者からのコントリビューションや、コードに潜在的なバックドアを取り込む危険なアカウントのチェック、ファジング (OSS-Fuzz など) や静的コード解析ツール (CodeQL など) の使用、CI/CD の危険性の兆候、不正な依存関係などである。このチームは、「依存関係を固定することは、コンパイル時だけでなく、Dockerfile やCI/CD ワークフローといった依存関係が存在する、あらゆる場所で有効だScorecards は、Frozen-Deps チェックで、一連のアンチパターンをチェックする。このチェックは、最近の CodeCov 攻撃のような、悪意の依存関係を介した攻撃の軽減に役立つ」と述べている。
この記事の指摘によると、Google は、分析した大半のプロジェクトに、数多くの問題が存在すると述べているようです。具体的には、継続的なファジングを行っていないこと、脆弱性を報告するためのセキュリティ・ポリシーを定義していないこと、依存関係を固定していないことなどです。重要なプロジェクトのセキュリティを向上させるには、広範なセキュリティ・リスクに対する認識を高める必要があると強調しています。今回の Scorecards v2 のリリースは、ソフトウェア成果物の完全性を確保し、開発/展開のパイプラインの過程で、不正な変更を防止するための End-to-End フレームワークである Supply chain Levels for Software Artifacts (SLSA) をプレビューした数週後に行われました。
IoT OT Security News 