CISA Releases Open Source Software Security Roadmap
2023/09/13 SecurityWeek — 9月12日 (火) に米国の Cybersecurity and Infrastructure Security Agency (CISA) はオープンソース・ソフトウェア (OSS) のエコシステムを支援し、連邦政府機関による OSS の利用を保護するための、計画について詳述する新たなドキュメントを発表した。同庁によると、誰もがアクセス/変更/配布できる OSS は、高品質コードの提供とコラボレーションを促進するが、広範囲に影響を及ぼす Log4Shell などの脆弱性により、高いリスクももたらす可能性があるという。
CISA の Open Source Software Security Roadmap (PDF) は、OSS エコシステムのセキュリティ確保における優先事項の詳細を示している。その目的は、この取り組みにおける連邦政府の役割の確立/OSS の使用とリスクの可視化の推進/連邦政府機関におけるリスク軽減/エコシステムの強化などである。
CISA の指摘は、「連邦政府機関や重要インフラ組織は OSS に大きく依存しており、OSS は各種の分野における、ほぼ全ての研究コードベースに存在する」というものだと、最近の Synopsis のレポートに記されている。
CISA は、「想定される未来は、より回復力があり、公平で、防御可能なサイバー空間という、国家のサイバー・セキュリティ戦略の目標に沿って、セキュアなテクノロジーが世界のバックボーンとなる日々である。このテクノロジーを構築する基盤の一部として、大幅な成長を遂げる OSS が、この未来の鍵となる」と は述べている。
同機関によると、OSS インフラの安全性を確保することが不可欠であり、そのためには、脆弱性と攻撃の関連性から理解し始める必要があるという。
OSS のセキュリティ欠陥は、特に広範囲に影響を及ぼすため、CISA では悪用可能なバグの蔓延を減らし、対応者を支援することに尽力するとしている。それと同時に CISA は、OSS コンポーネントに対する悪意ある侵害に注意を喚起している。この侵害は、通常、下流へと向けた侵害につながる。
Open Source Software Security Roadmap に詳述されているように、CISA は、エコシステムを深く理解し、協力を推進するために、OSS コミュニティに関与するだけではなく、パッケージ・マネージャーやコード・ホスティング・サービスにも対策を講じるよう働きかけるとしている。それに加えて、国際的なパートナーに関与し、OSS セキュリティの専門知識を高めるとともに、CISA 内部に OSS セキュリティ・ワーキング・グループを設置するという。
また、連邦政府機関および重要インフラ事業体内の重要な機能をサポートするために、最も多く使用されている OSS ライブラリの特定にも注力している。具体的には、その情報を利用してリスクを把握し、緩和およびリスク低減の取り組みの優先順位付けを行うという。
連邦政府機関のリスクを低減するために、CISA は OSS の安全な利用のためのソリューションを評価し、Open Source Program Office (OSPO) のベストプラクティス・ガイダンスを開発し、OSS のセキュリティと回復力の向上に役立つポリシーとリソースの特定作業を継続する。
さらに、CISA は、連邦政府と重要インフラで使用される、重要な OSS コンポーネントのセキュリティを中心として、より広範な OSS エコシステムの強化に取り組む。また、SBOM の活動を拡大し、OSS 開発者向けのセキュリティ教育を支援し、OSS セキュリティ利用のベストプラクティス・ガイダンスを公表し、OSS の脆弱性の開示と対応を引き続き調整する。
この CISA の Open Source Software Security Roadmap ですが、基本的に連邦政府での OSS 運用が前提となりますが、民間にとっても有り難いガイダンスであるはずです。ダウンロードしてみましたが、目次はいかのとおりです。たまには、長いドキュメントでも読んでみようかと、思わせてくれる内容という感じです。
Goal 1: Establish CISA’s Role in Supporting the Security of OSS
1.1. Partner With OSS Communities
1.2. Encourage Collective Action From Centralized OSS Entities
1.3. Expand Engagement and Collaboration With International Partners
1.4. Establish and Organize CISA’s OSS Work
Goal 2: Drive Visibility into OSS Usage and Risks
2.1. Understand OSS Software Prevalence
2.2. Develop a Framework for OSS Risk Prioritization
2.3. Conduct Risk-Informed Prioritization of OSS Projects
2.4. Understand Threats to Critical OSS Dependencies
Goal 3: Reduce Risks to the Federal Government
3.1. Evaluate Solutions to Aid in Secure Usage of OSS
3.2. Develop Open Source Program Office Guidance
3.3. Drive Prioritization of Federal Actions in OSS Security
Goal 4: Harden the OSS Ecosystem
4.1. Continue to Advance SBOM Within OSS Supply Chains
4.2. Foster Security Education for Open Source Developers
4.3. Publish Guidance on OSS Security Usage Best Practices
4.4. Foster OSS Vulnerability Disclosure and Response
IoT OT Security News 
You must be logged in to post a comment.