CISA and OpenSSF Release Framework for Package Repository Security
2024/02/12 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、 OpenSSF (Open Source Security Foundation) の Securing Software Repositories Working Group と提携し、パッケージ・リポジトリの安全性を確保するための新しいフレームワークを発表した。この Principles for Package Repository Security と呼ばれるフレームワークは、パッケージ・マネージャのための一連の基本ルールを確立することで、オープンソース・ソフトウェアのエコシステムの強化を目的としている。
OpenSSF は、「パッケージ・リポジトリは、オープンソースのエコシステムにおいて、サイバー攻撃を防止/軽減するための重要なポイントになっている。あらためて文書化された、アカウント回復ポリシーを持つような単純な行動でさえ、強固なセキュリティの改善につながる。また、多くのプロジェクトは非営利団体により運営されているため、パッケージ・リポジトリのリソース制約とのバランスを取る必要がある」と述べている。
この原則では、認証/認可/機能/CLI ツールという、4つのカテゴリへの分類が行われ、パッケージ・リポジトリのセキュリティ成熟度を4段階に分けている。
- Level 0:セキュリティ成熟度が、ほとんど無い。
- Level 1: 多要素認証 (MFA) が運用される、セキュリティ研究者による脆弱性の報告が行われるといった、基本的なセキュリティ成熟度を持つ。
- Level 2:重要なパッケージに対する MFA の要求や、既知のセキュリティ脆弱性のユーザーへの警告といった、中程度のセキュリティを持つ。
- Level 3:すべてのメンテナに対して MFA を要求し、パッケージのビルド証明 (build provenance) をサポートする、高度なセキュリティを持つ。
すべてのパッケージ管理エコシステムは、少なくとも Level 1 を目指すべきだと、このフレームワークの作者である Jack Cable と Zach Steindler は指摘している。
最終的な目的は、それぞれのパッケージ・リポジトリにおいて、自分たちのセキュリティ成熟度を自己評価し、セキュリティの改善という形で時間をかけて、保護機能を強化する計画が策定することにある。
OpenSSF は、「セキュリティの脅威は刻々と変化し、その脅威に対処するセキュリティ能力も変化していく。私たちの目標は、エコシステムのセキュリティ強化に対して、パッケージ・リポジトリが最適な機能を迅速に提供できるようにすることだ」と付け加えている。
先日には、米国保健福祉省の HC3 (Health Sector Cybersecurity Coordination Center) が、患者記録/在庫管理/処方箋/請求書の管理にオープンソース・ソフトウェアを使用した場合に、その結果として生じるセキュリティ・リスクについて警告を発している。
同センターは、「オープンソース・ソフトウェアは、現代のソフトウェア開発の基盤である一方で、ソフトウェア・サプライチェーンの中で、最も脆弱なリンクでもある」と、2023年12月に発表した脅威概要の中で述べている。
オープンソースは、個人や小さなチームのボランタリーからもたらされるため、セキュリティを考えるときに、とても難しい問題に突き当たります。さらに、ソースコードがリポジトリで共有されながら、成長していくという世界があるため、サプライチェーン攻撃にも悪用される可能性があります。もちろん、開発者も考えるべきことですが、ユーザーである企業や政府も、そのためにリソースや資金を投入する必要があるでしょう。CISA にも OpenSSF にも、そのあたりで頑張ってほしいと思います。よろしければ、2024/02/08 の「Open-Source Security の現状と未来:コミュニティとユーザーと政府は何を考えるべきか?」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.