Google がパッケージの依存関係をグラフで分析:Open-Source Maintenance Crew とは?

Google Created ‘Open-Source Maintenance Crew’ to Help Secure Critical Projects

2022/05/13 TheHackerNews — 木曜日に Google は、重要なオープンソース・プロジェクトのセキュリティ強化のために、Open Source Maintenance Crew を創設したことを発表した。さらに Google は、パッケージと依存関係をグラフで分析するツールとして Open Source Insights を指摘し、それを使って「依存関係にある脆弱性が自身のコードに影響を及ぼす可能性の有無を判断する」ことを提案した。

同社は、「それらの情報により、開発者は自身のソフトウェアが組み立てられている方法と、依存関係の変更に対する影響を理解できる」と述べている。この開発は、開発者のワークフローを危険にさらす一連のサプライチェーン攻撃の余波として、オープンソース・ソフトウェアのエコシステムにおける、安全と信頼が疑問視されている中で行われた。

2021年12月には、ユビキタス・オープンソース Log4j ロギング・ライブラリで深刻な脆弱性が発見されたことで、潜在的な悪用に対するシステム・パッチ適用に、多くの企業が躍起になるという状況に陥った。

また、今回の発表は、Open Source Security Foundation (OpenSSF) が、人気のオープンソース・リポジトリにアップロードされた、すべてのパッケージの動的分析を行うPackage Analysis プロジェクトを発表してから、2週間も経たないうちに行われた。

とても短くて簡潔な記事ですが、Open Source Insights という名の、パッケージと依存関係をグラフで分析するツールが登場しそうな気配です。文中でも、Log4j を例えにして、IT 業界の問題点を指摘していますが、自身のシステムの中で、Log4j が何処になるのかが分からないという、脆弱性というよりは Inventory の問題がクローズアップされたわけです。この Open Source Insights は期待大ですね!

%d bloggers like this: