編集部からのお知らせ
HCIの記事をまとめた資料ダウンロード
記事集:クラウドのネットワーク監視

オープンソースのセキュリティ強化へ--The Linux FoundationのCIIが支援する3プロジェクト

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 川村インターナショナル

2015-06-25 06:45

 オープンソースソフトウェアは概してプロプライエタリソフトウェアより安全かもしれないが、状況によっては、同じくらい深刻な障害が発生することもある。「OpenSSL」の3つの主要なセキュリティ問題である「Heartbleed」「FREAK」「Logjam」はすべて、そのことを示している。こうした問題の発生を未然に防ぐため、The Linux FoundationのCore Infrastructure Initiative(CII)は3つの新しいセキュリティプロジェクトに50万ドル弱の資金を提供することを発表した。対象のプロジェクトには、新しいオープンソース自動テストプロジェクト、「Reproducible Builds」イニシアチブ、ITセキュリティ研究者Hanno Bock氏の「The Fuzzing Project」がある。さらにThe Linux Foundationは、Linux、システム、クラウドのセキュリティの専門家であるEmily Ratliff氏がインフラストラクチャセキュリティ担当シニアディレクターとしてCIIを監督すると発表した。Ratliff氏はAMDとIBMで20年以上セキュリティに携わってきた人物である。

figure1

 Reproducible Builds: Reproducible Buildsの目的は、誰もが同じバイナリプログラムをソースコードからビット単位で複製できるようにすることだ。これにより開発者は、バイナリが実際にそのソースコードに由来するものであることを自分で確かめられるようになる。

 現在、その作業は非常に困難だ。コンパイラの出力は通常、バージョンによって異なる。そのため、プログラマーが元の構築環境を可能な限り忠実に複製しても、日付と時刻やファイルの順番といった些細な違いによって、異なるバイナリが生成されることもある。このプロジェクトでは、特定の構築環境の記録と復元を容易にし、コンパイルプロセスを完全に決定論的なものにすることを目指している。そのための手段は、差異の排除や標準化だ。

 「Debian」の開発者であるHolger Levsen氏とJeremy Bobbio氏は、膨大な数の無料ソフトウェアプロジェクトの構築プロセスから不要な差異を排除するべく、この重要な取り組みを主導している。また、こうした相違点の原因を特定し、インフラストラクチャのアップデートによって、開発者がバイナリディストリビューションの真正性を自ら検証できるようにするツールも開発中だ。

 構築プロセス中に不具合が発生しないように徹底することで、ソフトウェアのセキュリティと可制御性が大幅に高まるだろう。Debianではこの取り組みが既にかなり進んでおり、Debianで開発したツールを「Fedora」「Ubuntu」「OpenWrt」などのLinuxディストリビューション向けに提供しようとしている。

 The Fuzzing Projectファジングはソフトウェアをテストする手法だ。ブラックボックステストの一種であり、半ランダムのデータを自動的にプログラムに注入して、バグを検知する。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]