「OpenSSF Meetup」開催、「OpenSSF Day North America」で発表された「OSSセキュリティのための動員プラン」の内容を解説

こんにちは、吉田です。今回は、6月2日に開催された「OpenSSF(Open Source Security Foundation) Meetup」の内容をレポートしたいと思います。

このMeetupは、5月にカナダのバンクーバーで開催された「OpenSSF Day North America」の報告という内容でしたが、その中から現地にて本イベントに参加したサイバートラストの池田 宗広さんのレポートが特に興味深かったので紹介します。

このレポートは、昨年米国ワシントンD.C.で開催された「Open Source Software Security Summit II」で合意された「OSSセキュリティのための動員プラン」の進捗状況に関する内容です。

「OSSセキュリティのための動員プラン」とは、ソフトウェアサプライチェーンを強化するための3つの基本的な目標と10の主要な問題(10 Streams)を定義しています。

3つの目標と10の主要な問題を定義・特定

「OSSセキュリティのための動員プラン」の現状と今後については、Intel社のChristopher Robinson氏のセッション「Mobilizing for the Mobilization Plan」で説明がありました。その中で「OSSセキュリティのための動員プラン」の意義としては、OSSセキュリティ強化に関する活動を一本化することで、各国が強めつつある法的規制がOSSに与える悪影響を低減することと全ての関係者がリスク判断するための情報にアクセスできるようにすることだという説明がありました。

具体的には、EUでは年内にも成立する見通しの「EUサイバーレジリエンス法(CRA)」では、すべてのデジタル製品を対象にSBOMの作成やアップデートの提供などを義務化する動きが出ています。また、ドイツではドイツ連邦情報セキュリティ局が権限を強化して重要インフラは部品の信頼性保証書の届出を義務化し、要件を満たさない場合は政府が利用禁止命令を発令できます。ASEANでも2025年を目標にサイバーセキュリティ規制の策定を目指していますし、日本でも経済安全保障の観点から、基幹インフラ14事業のシステム導入・更新でサイバーセキュリティに関する政府審査を義務化する動きが出ています。

そのような周辺環境の中で、OpenSSFの「OSSセキュリティのための動員プラン」はどれほど進んでいるかというと、先ほど紹介した10の主要な問題(Stream)は活動の盛り上がりに若干温度差があり、活発なStreamとそれほど活発でないStreamがあるという印象を受けたそうです。活発に活動しているのは「セキュリティ教育」「デジタル署名」「メモリー安全性」「SBOMの普及」などで、以下、各Streamの状況を紹介したいと思います。

• 「セキュリティ教育」：
  既存の無料トレーニングに関する情報の収集と並行して開発マネージャーへのトレーニングコースを開発中で、DEIにフォーカスした教育コースも整備しています。DEIとはDiversity(多様性)、Equality(平等)、Inclusio (受容)の略で、Linux Foundationが特に注力している分野です。今後は新たな研修コンテンツを作成する予定で、特にDEIに関しては、これまで十分な支援を受けていないコミュニティにメンターシップ、デジタルポートフォリオのレビュー、人脈作りを支援する「オフィスアワー」を設定していていくことになっています。ちなみに、これらの教材を使用する講師も募集しているようなので、情熱と意欲のある方は応募しても良いかも知れません。
• 「デジタル署名」：
  SigstoreがLLVMリリースやその他多くのコミュニティで使用されているGitHub Actionsなどで使われ始めており、配布と使用をより安全にするために必要な活動が進んでいます。
• 「メモリー安全性」：
  メモリセーフな開発のためのベストプラクティスやツールに関する情報収集を進めている状況で、必要に応じて「OSSセキュリティのための動員プラン」の文言の書き直しが必要な部分について着手しています。今後は収集したベストプラクティスとツールをまとめ、OpenSSFとそのメンバーによる財政的支援を呼びかけたい、としています。また、C/C++のような伝統的な言語でメモリ・セーフのテクニックやツールがあれば、ぜひ教えて欲しいという要望もありました。
• 「SBOMの普及」：
  このStreamでは「SBOMの採用を増やすこと」「SBOMツールをOSSの世界で普及させる」という2つの目標に向けて活動していますが、活動状況としては、Pythonライブラリへの資金援助をしつつもなかなか進んでいないというのが実情で、苦戦しているようです。このSBOMに関しては各種規制や法令などで注目されていることもあり、さまざまな展開が予想されているため、今後劇的な進展が見られるかも知れません。注視していく必要があると思います。

このように、各々それほど進展しているわけではありませんが、その他のStreamについても状況の説明があったので、簡単に紹介します。

• 「スキャニング改善」と「コード監査」：
  「Alpha & Omega Project」に関しての報告があり、Alphaプロジェクトでは、2022年にNode.js、Eclipse、Rust、JQuery、Pythongが対象プロジェクトとなりました。また、Omegaプロジェクトでは2名の担当者を採用しています。ちなみに、Alpha Projectは最も重要なオープンソースプロジェクトのメンテナと協力し、セキュリティ脆弱性の特定と修正、セキュリティ態勢の改善を支援する活動で、Omega Projectは自動化されたセキュリティ分析、スコアリング、改善ガイダンスをオープンソースのメンテナコミュニティに適用できる、広く展開されているOSSプロジェクトを少なくとも10,000件特定するプロジェクトです。
• 「サプライチェーンの改善」：
  2022年12月に理事会に「Sterling Toolchain」を提案しています。Sterling Toolchainでは「デファクトスタンダードのセットとして協働する開発ワークフローの中で、自律的なツールチェーンを構築し、任意のソフトウェアに含まれるサプライチェーンのモジュールを自動的にスキャンし、修正し、リスト化することにより、生成されるすべてのソフトウェア・パッケージが検証可能なほど信頼できるようになる。」ことを目指しています。
  

  How OpenSSF Projects & SIGs Work Together

「OSSセキュリティのための動員プラン」は、このような状況で進んでおり、今後の動向に注目していきたいと思います。この「OSSセキュリティMeetup」では、Linux Foundation Japanの福安さんからOpenSSF全体の状況に関する報告や、日立の山本さんからSBOMやSLSAに関連するトピックがありましたので、興味のある方はこちらをご覧いただければと思います。