OSSのセキュリティ強化へ--グーグルが提案する"重要"プロジェクト向けルール

Liam Tung (Special to ZDNET.com) 翻訳校正: 石橋啓一郎

2021-02-10 06:30

 オープンソースソフトウェアはクローズドソースよりも安全との見方もあるが、これはコードが十分に調べられていればの話だ。それは簡単なことではないとGoogleは主張している。

 Googleの数人のトップエンジニアは、将来重要なオープンソースソフトウェアプロジェクトがサプライチェーン攻撃などの原因となることを避けるためとして、新たな「規範」を提案した。これらの提案は、(もし関与しているプロジェクトが「重要」だと判断されれば)オープンソースのコントリビュータ―にとっては面倒になりかねないものだ。

 Googleは、業界として特定のプロジェクトを「重要」だと判断した場合、そのプロジェクトのオーナーやメンテナーが身分を特定可能で、責任を負うことができ、認証されていることを義務づけるという新たなルールを提案している。つまり、この提案が実現すれば、コードを意のままに変更することはできなくなる可能性があり、変更内容は必ず第三者のレビューを受けることになる。

 Googleは、この重要なオープンソースソフトウェアに関する提案はプロジェクトオーナーの負担を増やすものであるため、抵抗を受けることを予想しているという。

 同社は「私たちの意見は、コンセンサスと持続可能なソリューションがもっとも重要なこの分野における1つの意見にすぎない」と認めている。しかし、同社のIT業界に対する影響力は大きい。同社は、それらの目標を達成するための提案について説明するブログ記事を公表した。

 Googleのプログラミング言語「Go」の主要な設計者の1人であり、ディスティングイッシュドエンジニアのRob Pike氏は、新たなブログ記事の中で、業界は「共同で『重要』なソフトウェアパッケージのセットを定め、このセットに対してだけは高いスタンダードを適用する」ことに合意すべきだと主張している。

 重要なオープンソースソフトウェアに対して掲げる目標には、次のようなものがある。

  1. 一方的なコードの変更をなくす。変更を行う際には、コードのレビューと独立した2つの主体による承認を義務づける。
  2. 参加者を認証する。これは、匿名でオーナーやメンテナーになることはできないことを意味する。また、コントリビューターには強い認証方式(例:2要素認証)の利用を義務づける。
  3. ソフトウェアに対するリスクのある変更に通知を義務づける。
  4. ソフトウェアに関連する成果物の透明性を確保する。
  5. 信頼できるビルドプロセスを作るための方法を生み出す。

 Pike氏らは、「(これらの目標を達成するのは)負担が大きく、ある程度の抵抗を受けることが予想されるが、これらの追加的な制約は、セキュリティを実現するためには欠かせないと考えている」と説明している。

 またGoogleは、すべてのオープンソースソフトウェアに当てはめるべき目標も提案し、業界に検討することを求めている。これらに対する異論は比較的少ないと思われるものの、実現するにはGoogleでさえ難しいと考えるような作業や問題解決が必要になる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]