Google Cloud Assured Open Source Software サービスの一般提供を開始
Google Cloud Japan Team
※この投稿は米国時間 2023 年 4 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。
ソフトウェア サプライ チェーンやオープンソース ソフトウェア(OSS)を標的とした脅威が、アプリ開発企業や開発者を大きく脅かす状況が続いています。Mandiant の M-Trends 2022 レポートによると、セキュリティ侵害のうち 17% がサプライ チェーン攻撃に端を発しており、感染のきっかけとしてエクスプロイトに次いで二番目に多くなっています。
OSS セキュリティを向上させるための Google の取り組みの一環として、このたび Java および Python エコシステムを対象とした Assured Open Source Software(Assured OSS)の一般提供を開始しましたのでお知らせいたします。Assured OSS は、Google が社内でオープンソース依存関係に適用しているのと同じセキュリティおよび機能を、オープンソース ソフトウェア利用しているあらゆる組織に無償で提供するものであり、Google が安全性を確認したうえで社内のデベロッパー ワークフローに取り入れている OSS パッケージが含まれています。
Assured OSS を使用すると、以下のようなメリットがあります。
信頼できる既知のサプライヤーから OSS パッケージを取得できる
Assured SBOM(業界標準の SPDX や VEX など)によって、ソフトウェアの構成部品について詳しく把握できる
Google がキュレート済みパッケージを常時スキャンし、新しい脆弱性を検出、修正しているため、リスクを低減できる
改ざん履歴がないことを示す署名入り証明書があるため、ソフトウェアに使用している構成部品の整合性を確実に信頼できる
TensorFlow、Pandas、Scikit-learn など、一般的な ML や AI のプロジェクトが含まれる人気の高い Java や Python の 1,000 以上のパッケージの中から選択できる
Google は、2022 年 5 月に Assured OSS の公開プレビュー版を発表し、同年 10 月にはソフトウェア デリバリー シールドに主要コンポーネントとして搭載しました。それ以来、お客様から大変ご好評いただき、高い関心が寄せられています。
シティグループでサイバー セキュリティを担当するマネージング ディレクター兼シティ テック フェローの Jon Meadows 氏は、次のように述べています。「シティグループは、エンタープライズのソフトウェア サプライ チェーンを安全に保護するための業界一丸の取り組みを支持し、率先して活動しています。シティグループと Google は、信頼できない未検証のオープンソースに依存することが主なリスク要因であると考えている点が共通しています。そうした背景から、Google Cloud の最新の Assured OSS のアーリー アドプターとして喜んで参加しました。Assured OSS は、当社のようなエンタープライズで頻用されているオープンソース ソフトウェア コンポーネントを保護し、リスクを軽減するために役立ちます。」
Assured OSS は、OSS パッケージを狙った攻撃やリスクを以下のような方法で防止します。
主な外部のエコシステムを常時ミラーリングして、フォークを作ることなくエンドツーエンドのセキュリティを管理する
改ざん履歴がないことを示す証明書を使って、ミラーリングされたリポジトリおよびエンドツーエンドのビルド ツール チェーンのセキュリティと整合性を管理する
継続的にスキャンやファズテストを行い、重大な脆弱性を修正してアップストリームにすばやく反映させて、リスクに晒される期間や影響の及ぶ範囲を最小限にとどめる
重大な脆弱性のパッチ担当チームを設置し、カバー対象パッケージに対応する
「開発サイクルを短縮するために、各社で OSS の利用が進んでいます。そのような状況のなかで、信頼できる安全なオープンソース パッケージの提供元が求められるようになってきています」と、ESG のシニア アナリストである Melinda Marks 氏は語ります。「適切な審査および検証や、OSS へのアクセスや使用の追跡を可能にするメタデータがなければ、潜在的な脆弱性やソフトウェア サプライ チェーンを巡るその他のリスクに晒される恐れがあります。信頼できるサプライヤーと連携することで、このようなリスクを低減し、ソフトウェア サプライ チェーンの整合性を確保して、ビジネス アプリケーションを安全に守ることができるようになります。」
Assured OSS を利用し、大規模なコミュニティに属することは、キュレーション プロセスを経たパッケージを利用できるというセキュリティ上の大きなメリットがあります。Google の Assured OSS 担当チームが最初の 278 パッケージをキュレートした時点からのデータによると、Google は新しい脆弱性(CVE)の 48% の第一発見者となっています。これらの CVE はすべて修正され、アップストリームに反映されています。
今すぐ使用を開始する
Assured OSS は、以下の手順で簡単に使用を開始できます。
セルフサービス オンボーディング フォームに記入して、Assured OSS を有効にします
メタデータ API を使って、利用可能な Python および Java パッケージをリストアップし、使用したい Assured OSS パッケージを決めます
コードを作成中のソフトウェア開発パイプラインの任意の箇所に接続します。Artifact Registry、Artifactory、Nexus などへの統合も簡単に行えます
Assured OSS の信頼できる依存関係のもと、アプリを構築します
強化された、対応するメタデータを調べます(SBOM および VEX)
その他のリソース
オープンソース ソフトウェアのセキュリティを脅かすリスクは急速な高まりを見せ、複雑な問題として立ちはだかっています。Assured OSS を使えば、Google が構築して社内で日々活用しているセキュリティ システム、ツール、プロセス、テクニックを取り入れることができます。Assured Open Source Software について詳しくは、エンタープライズにおけるオープンソース ソフトウェアのセキュリティ管理をテーマとして取り上げた Security Talks セッションをご覧ください。また、ソフトウェア サプライ チェーンのセキュリティに関するウェビナーもご登録のうえどうぞご視聴ください。ご質問やご意見もお待ちしております。
