もし数カ月前に、誰かにITセキュリティに関する最大の心配事を尋ねていたら、さまざまな答えが返ってきただろう。しかしその後、SolarWindsが自社のソフトウェアのサプライチェーンを守ることに致命的に失敗し、一部で「ITのパールハーバー」とも呼ばれるような事態が発生したことで、今では、仕事に真剣に取り組んでいる最高セキュリティ責任者(CSO)や最高情報セキュリティ責任者(CISO)であれば、誰でもソフトウェアサプライチェーンを守ることを最優先の仕事に位置づけている。オープンソースに対するこの要求に応えるために、The Linux Foundation、Red Hat、Google、パデュー大学が立ち上げたプロジェクトが「sigstore」だ。
先週発表されたこのプロジェクトは、透明性が確保されたログを残す技術を基盤として、ソフトウェアの暗号署名を簡単に導入できるようにし、ソフトウェアサプライチェーンのセキュリティを改善することを目指したものだ。sigstoreはその目標を、開発者がファイルやコンテナイメージ、バイナリーなどのソフトウェアのアーティファクトに安全に署名できる仕組みを提供することで実現しようとしている。署名の記録は、改ざんできない公的なログで保管される。このサービスは、すべての開発者やソフトウェア提供者に無料で提供される予定になっている。この機能を実現するために使われるsigstoreのコードと運用のためのツールは、sigstoreのコミュニティによって開発されている。
The Linux Foundationのオープンソースサプライチェーンセキュリティ担当ディレクターであるDavid A. Wheeler氏が述べている通り、検証済みの再現性のあるビルドが公開されるのはまだ先のことになる。
Wheele氏は、「『再現性のあるビルド』とは、同じ入力に対して常に同じ出力が得られるビルドで、ビルド結果を検証できるものだ。また検証済みの再現性のあるビルドとは、独立した組織がソースコードからビルドを作成し、ビルドされた結果がそのソースコードから作成されたものであることを検証するプロセスのことを言う」と説明している。
これを利用すれば、「ソフトウェアの部品表」(SBOM)を作ることができ、SBOMがあればどのプロジェクトでどんなコードが使われているかを正確に把握することができる。これもオープンソースを支持する要素の1つとなる。例えばハッキングされたSolarWindsの製品「Orion」は、ほかのプロプライエタリーなソフトウェアと同じように、中身はブラックボックスになっている。中がどうなっているかは、ビルドした人間しか分からない。そして今では、外部の企業がOrionの問題を発見するまで、SolarWinds自身も中がどうなっているのかを把握していなかったようだ。
