PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮

One-Third of Popular PyPI Packages Mistakenly Flagged as Malicious

2022/08/24 DarkReading — オープンソース・コードのリポジトリ Python Package Index (PyPI) で、悪意のパッケージを検知するスキャナーが、かなりの数の誤報を生成していたことが、研究者たちにより明らかにされた。PyPI とは、Python で記述されたアプリケーションが使用する、ソフトウェア・コンポーネントのメイン・リポジトリのことである。Chainguard の分析によると、そのスキャナーにより、悪意のパッケージの 59% が検出されるが、人気のある正規 Python パッケージの3分の1に対して、また、ランダムに選択されたパッケージの 15% に対して、悪意の判定フラグを立ててしまうことが判明した。

Continue reading “PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮”

SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減

Gathering Momentum: 3 Steps Forward to Expand SBoM Use

2022/06/06 DarkReading — IT 環境における Software Bills of Materials (SBoM) の普及を求める声は大きくなっているが、アプリケーション・ポートフォリオで使用されている、ソフトウェア・コンポーネントの追跡のために SBoM を一貫して導入している組織は、相対的に少ないという現実がある。

Continue reading “SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減”

Google Cloud の Assured OSS サービス:審査済みの Open Source コンポーネントを提供

Google Cloud Aims to Share Its Vetted Open Source Ecosystem

2022/05/18 DarkReading — Google によるセキュリティ対策の恩恵を望む開発者は、Google の開発者がセキュリティ問題を検証し、パッチ適用を把握している、オープンソース・コンポーネントを利用するサービスを、まもなくサブスクライブできるようになる。この Assured Open Source Software (OSS) と名付けられたサービスは、頻繁なスキャンとコード解析により作成されたメタデータで補強される、新たな Supply chain Levels for Software Artifacts (SLSA) フレームワークに準拠する。したがって、Google の署名を受けた、オープンソース・パッケージのバージョンが提供されることになる。

Continue reading “Google Cloud の Assured OSS サービス:審査済みの Open Source コンポーネントを提供”

Google がパッケージの依存関係をグラフで分析:Open-Source Maintenance Crew とは?

Google Created ‘Open-Source Maintenance Crew’ to Help Secure Critical Projects

2022/05/13 TheHackerNews — 木曜日に Google は、重要なオープンソース・プロジェクトのセキュリティ強化のために、Open Source Maintenance Crew を創設したことを発表した。さらに Google は、パッケージと依存関係をグラフで分析するツールとして Open Source Insights を指摘し、それを使って「依存関係にある脆弱性が自身のコードに影響を及ぼす可能性の有無を判断する」ことを提案した。

Continue reading “Google がパッケージの依存関係をグラフで分析:Open-Source Maintenance Crew とは?”

OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す

New OpenSSF Project Hunts for Malicious Packages in Open Source Repositories

2022/04/29 SecurityWeek — Open Source Security Foundation (OpenSSF) が発表した新しいプロジェクトとは、オープンソース・リポジトリ内の悪意のパッケージの特定を、支援することを目的とするものだ。OpenSSF によると、この Package Analysis プロジェクトは、オープンソース・パッケージの挙動と機能 (アクセスするファイル/サポートするコマンド/接続する IP など) を特定し、疑わしい活動を明らかにし、変更を追跡することを目的としている。

Continue reading “OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す”

OpenSSF の新プロジェクト Alpha – Omega:セキュリティのために Microsoft/Google が出資

OpenSSF Launches Project to Secure Open Source Software

2022/02/01 SecurityBoulevard — 今日、Open Source Security Foundation (OpenSSF) は、Microsoft と Google から提供された $5 million の初期投資を用いて、オープンソース・ソフトウェアのセキュリティを向上させるための Alpha-Omega プロジェクトを立ち上げた。

OpenSSF の General Manager である Brian Behlendorf は、このプロジェクトの目的について、セキュリティに関する専門知識を広範なオープンソース・ソフトウェア・プロジェクトに提供し、オープンソース・ソフトウェア構築で用いられる DevSecOps ワークフローに組み込むことが可能な、自動セキュリティ・テスト・ツールへのアクセスを提供することだと述べている。

Continue reading “OpenSSF の新プロジェクト Alpha – Omega:セキュリティのために Microsoft/Google が出資”