Google delivers secure open source software packages
2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。
Assured OSS サービス
Google Cloud の Group Product Manager である Andy Chang は、「脅威アクターたちは、定期的に、OSS プロジェクトのソースコードやソースリポジトリへの侵害を試みている。Web からダイレクトにパッケージを構築するのではなく、Google が保護/管理するミラーから Assured OSS パッケージを構築することで、ソースコード/リポジトリ保護/エンドツーエンド構築/パッケージ/デプロイを保護し、ソースコードやリポジトリが侵害されても、整合性を維持することが可能になる」と、Help Net Security に述べている。
彼は、「脅威アクターたちは、ソフトウェアのパイプラインツールやサプライチェーンにおける、複数のステップを経て開発される成果物に対しても、定期的に完全性を侵害しようとする。Google は、Assured OSS パッケージのために、このエンドツーエンドを保護/制御/管理し、ユーザーによる可視性を高め、改ざん防止された証明と証明を生成しする」と付け加えている。
また、Google はサービスの一環として、キュレーションされたパッケージのファジング/スキャン/セキュリティテストを毎日行い、見つかった脆弱性を報告するという。
Chang は、「Google のクリティカル・パッチング・チームは上流のメンテナと協力して、発見された問題に対するセキュリティ・アップデートや修正プログラムのリリースを早めるよう努める。そして、必要に応じて、特定された脆弱性をダイレクトに修正し、修正内容を上流に提出し、セキュリティ・アップデートも行う。これまでに Assured OSS で発見された脆弱性のうち、CVSS スコアが 9.8 と評価された 2件つのケースで、Google チームは発見/修正を先行して実践した」と説明している。
サービスの現在と未来
Assured OSS は、2022年10月から Preview を開始していましたが、今回の発表により一般に対して無償で提供されることになった。現在は、Java と Python のエコシステムが対象となっているが、ニーズに関するユーザーとの継続的な議論に基づ、さらなるエコシステムに拡大する予定だと、Chang は述べている。
Google のキュレーションにより確保された OSS パッケージのリストには、1017個のバイナリ (Java 443個/Python 574個) が含まれる。それぞれについて、Google は SBOM と脆弱性メタデータを、業界標準フォーマット (SPDX/VEX) で提供する。
個々のパッケージは Cloud Build (Google のサーバーレス CI/CD プラットフォーム) で構築され、検証可能な SLSA 準拠の証拠を含み、Google により署名/保護された Artifact Registry から配布される。
ユーザーはオンボーディング・フォームを通じて Assured OSS へのアクセスを自己申告し、メタデータ API を介して Python/Java パッケージをリストアップし、使用する Assured OSS パッケージを決定できる。
Chang は、「Assured OSS では、Google の Software Delivery Shield (SDS) ソリューションの利用は必須ではない。しかし、SDS と一緒に使うのであれば、さらに統合されたエクスペリエンスになる」と説明している。
以前にも Google は、ユーザーが自身の OSS ポートフォリオからパッケージを提出し、Google Cloud のマネージド・サービスを通じて、セキュリティの保護/管理を受けることができるようになると述べていた。
彼は、「この最初の GAバージョン Assured OSS では、サポートチームへの連絡により、Assured OSS のポートフォリオを拡張するための要望を伝えることが可能だ。リクエストされた OSS パッケージは、ユーザー組織が使用していて、Google が使用していないものであっても構わない」と明言している。
deps.dev API
新たに公開された deps.dev API は、Go/Maven/PyPI/npm/Cargo のオンラインリ・ポジトリに存在する、500万以上のパッケージの 5000 万以上のバージョンに関する、依存関係/ライセンス/アドバイザリなどの、セキュリティ情報を発見できるものである。この API は、Google 内部で使用されているものでもあり、現在は、すべての開発者が使用できるようになっている。
Google Open Source Security Team は、「deps.dev データセットは、パッケージ登録/オープンソース脆弱性データベース/GitHub・GitLab などのコードホスト/ソフトウェア・アーティファクトなどの、さまざまなソースを用いて継続的に更新されている」と述べている。
こうした一連の情報により、たとえば「この依存関係は、私のプロジェクトにどれだけのリスクをもたらすのか」といった、最重要かつ包括的な疑問が解消されるという。このデータは、IDE プラグイン/CI・CDプラットフォーム/ビルドツール/分析ツールなどに統合できる。
また、そのための API は、セキュリティ研究者/開発者/組織が、新たに発見された深刻な脆弱性により、自身のコードベースが影響を受けているかどうかを伝え、その場所を発見するのにも役立つ。
いまの OSS リポジトリを、どこまで信用してよいのかと思う人も少なくないはずです。それが心配な人は、Google Assured OSS サービスを利用してくださいという話です。とても助かる代替案とも言えますが、OSS リポジトリのセキュリティ問題が、かなり深刻だという現実を映し出しているとも言えます。よろければ、DevSecOps ページを、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.