2020年に続いて ロシアのハッカーが汚染された更新プログラムを広く使用されている IT 管理プラットフォームに滑り込ませた SolarWinds のサイバースパイ活動に続き、一連の他のソフトウェア サプライ チェーン攻撃は、ソフトウェア チェーンの管理を封鎖する緊急の必要性を示し続けています。 そして、この問題は、プロジェクトが本質的に分散化され、しばしばその場しのぎの試みであるオープンソースで特に差し迫っています。 後 シリーズ の 心配 妥協 GitHub が所有する著名な「npm」レジストリから JavaScript ソフトウェア パッケージを広くダウンロードするために、同社は今週、オープン ソース セキュリティの防御を強化する計画を発表しました。
マイクロソフトが所有する GitHub は、 発表した 月曜日に、コード署名プラットフォーム Sigstore を使用する npm ソフトウェア パッケージに対して、一種のデジタル ワックス シールであるコード署名をサポートする予定であると発表しました。 このツールは、オープンソースのメンテナーが作成したコードが、世界中の人々が実際にダウンロードしているソフトウェア パッケージに含まれるコードと同じであることを、はるかに簡単に検証できるようにするための業界間のコラボレーションから生まれました。
「ほとんどの npm パッケージはオープン ソースですが、現時点では、npm 上のパッケージが公開されているものと同じソース コードから構築されているという保証はありません」と、GitHub の製品管理ディレクターである Justin Hutchings は述べています。 「サプライ チェーンへの攻撃は増加しています。オープン ソース パッケージに署名付きビルド情報を追加して、ソフトウェアがどこから来て、どのように構築されたかを検証することは、攻撃対象領域を縮小する優れた方法です。」
言い換えれば、暗号で検証された透過的な電話ゲームを作成することがすべてです。
Sigstore を共同開発している Chainguard の CEO である Dan Lorenc 氏は、GitHub はオープンソース エコシステムの唯一のコンポーネントではありませんが、コミュニティにとって絶対に重要なタウン スクエアであることを強調しています。ソースコード。 ただし、開発者が実際にオープンソースのアプリケーションやツールをダウンロードしたい場合は、通常、パッケージ マネージャーにアクセスします。
「ソース コードを直接インストールするのではなく、通常は何らかのコンパイル済みの形式でインストールするため、ソース コードとパッケージの作成の間に何かが発生します。 そして今まで、そのステップ全体がオープン ソースのブラック ボックスにすぎませんでした」と Lorenc 氏は説明します。 「コードを見て、パッケージをダウンロードしますが、パッケージがそのコードから来たこと、または同じ人物が関与したことを証明するものは何もありません。そのため、GitHub はそれを修正しています。」
Sigstore をパッケージ マネージャーに提供することで、ソフトウェアのあらゆる段階で透明性が大幅に向上し、Sigstore ツールは、ソフトウェアがサプライ チェーンを移動する際に、開発者が暗号化チェックと要件を管理するのに役立ちます。 Lorenc 氏によると、これらの整合性チェックがまだ実施されておらず、オープンソース エコシステムの多くが長い間盲目的な信頼に依存してきたことを聞いて、多くの人がショックを受けているという。 2021 年 5 月、バイデン ホワイトハウス 行政命令を出した これは、ソフトウェア サプライ チェーンのセキュリティに特化したものでした。