CISA Outlines Efforts to Secure Open Source Software
2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、2日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。
さらに CISA は、脆弱性とインシデントへの対応改善するために、サミットで公開される卓上演習の資料を公開し、OSS コミュニティの学習に利用できるようにする予定である。
Rust Foundation は、Crates.io パッケージ・リポジトリの脅威モデルを公開し、悪意のアクティビティ・ハンティングのためのツールを構築している。この Crates.io のための公開キー・インフラ (PDF) を実装し、この件に関するパブリック・コメントを求める予定である。
Python Software Foundation は、クレデンシャル・レス公開のためのプロバイダとして、GitLab/Google Cloud/ActiveState などを PyPI に追加する。さらに、マルウェアの報告と対応のための API と関連ツールも計画されており、PEP 740 (Index support for digital attestations) は殆ど完成しているという。それにより、Python パッケージ・リポジトリのための、デジタル署名された証明書とメタデータが可能になる。
Packagist と Composer は、脆弱性データベースのスキャンと不正パッケージの乗っ取り防止を実装している。その後に、Principles for Package Repository Security frameworkに沿ったセキュリティの改善にも取り組み、既存のコードベースの徹底的なセキュリティ監査を計画していく。
影響力の大きい npm プロジェクトのメンテナたちには、多要素認証が要求されるようになった。メンテナたちは、利用者が依存関係を追跡/検証するための、出所情報と SBOM を自動的に生成する、新しいツールも利用できるようになる。
Sonatype が保守する Java/JVM 言語パッケージ・リポジトリである Maven Central は、リポジトリのセキュリティを向上させ、多要素認証をサポートするための、新たなパブリッシング・ポータルへと移行している。
長年にわたり脆弱性スキャンをサポートしてきた Maven Central は、名前空間へのアクセス制御/Trusted Publishing の評価/Sigstore の実装などの、さらなる機能強化を計画している。それらにより、セキュリティ・プロセスとベスト・プラクティスを照合し、ベンチマークを提供する予定である。
CISA の Director である Jen Easterly は、「OSS は、米国人が毎日のように依存している、重要なインフラの基礎となっている。重要インフラのセキュリティとレジリエンスの国家コーディネーターとして、OSS コミュニティとの緊密なパートナーシップのもと、OSS エコシステムの安全確保を支援していく。これらの取り組みを発表できることを誇りに思う」と述べている。
CISA による OSS リポジトリ対策が進んできました。この試みは、2023/09/13 の「CISA がオープンソース保護を本格化:セキュリティ・ロードマップを発表」あたりから始まっているものですが、その後に OpenSSF とのフレームワーク策定へと進んでいるようです。今回の、Principles for Package Repository Security には、主だったパッケージ・リポジトリの運営者も参加しているようであり、期待が持てそうです。
IoT OT Security News 
You must be logged in to post a comment.