編集部からのお知らせ
記事PDF集:官民意識のゼロトラスト
電子インボイスの記事まとめ

グーグル、ソフトウェアサプライチェーンのインテグリティ保証に向け「SLSA」フレームワーク提案

Liam Tung (Special to ZDNet.com) 翻訳校正: 編集部

2021-06-21 12:29

 Googleは、ソフトウェアサプライチェーン攻撃の脅威拡大に対処する手段として、「Supply-chain Levels for Software Artifacts」(SLSA)フレームワークを提案している。SLSAは「サルサ」と発音される。

 高度な技術を持つ攻撃者は、ソフトウェアサプライチェーンがソフトウェア業界の弱点であることを把握している。Googleは、大きな衝撃を与えたSolarWinds製品に対する攻撃や、先頃の「Codecov」へのサプライチェーン攻撃について指摘している。Codecovのインシデントでは、Codecovの「Bash Uploader」スクリプトが改ざんされ、サイバーセキュリティ企業のRapid7に影響した。

 Googleによると、サプライチェーン攻撃は目新しいものではないが、この1年ほどで増加している。同社は、既知の脆弱性やソフトウェアのゼロデイ脆弱性が悪用される問題などからサプライチェーン攻撃へとフォーカスする分野をシフトさせている。

 GoogleはSLSAについて、「ソフトウェアサプライチェーン全体でソフトウェアのアーティファクトのインテグリティ(整合性)を確保するためのエンドツーエンドのフレームワーク」と説明している。

 SLSAは、Google社内の「Binary Authorization for Borg」(BAB)から着想を得ている。Googleは8年以上前からBABを利用している。BABはコードの出所を確認し、コードIDを実装する。

 BABの狙いは、Googleで展開される本番ソフトウェア(特にコードがユーザーデータにアクセスできる場合)が適切に審査、承認されていることを確認し、インサイダーリスクを低減することにあるとGoogleのホワイトペーパーで説明されている。

 GoogleのオープンソースセキュリティチームのKim Lewandowski氏とBABチームのMark Lodato氏は、「SLSAの目標は、業界、特にオープンソースの状況を改善して、インテグリティ(整合性)に関する差し迫った脅威から防御することだ。SLSAを使用すれば、顧客は自分が使用するソフトウェアのセキュリティ体制について、十分な情報に基づいて選択することができる」と語った。

 SLSAは、開発者からソースコード、ビルドプラットフォームとCI/CDシステム、パッケージリポジトリー、依存関係に至るまで、ソフトウェアのビルドチェーンすべてで脅威を想定している。

 SLSAのフレームワークは現時点では、業界のコンセンサスによって定められた付加的に適用できる一連のガイドラインとなっているが、最終的な形は強制力によってベストプラクティスのリストとは異なるものになるとGoogleは構想している。「ポリシーエンジンに取り込まれ、特定のパッケージやビルドプラットフォームに『SLSA認証』を与える、監査可能なメタデータの自動生成に対応する」という。

 SLSAは4つのレベルで構成されており、「SLSA 4」はすべてのソフトウェア開発プロセスが保護された理想的な状態となる。

SLSAフレームワーク
提供:Google

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]