TokyoBlackHatNews

theregister.com 5分で読了

Homebrew 6.0リリース — 新セキュリティ機構、Linuxサンドボックス機能などを追加

DEVOPS

「Homebrewは今日のnpmよりも10年前の方が脆弱性が少なかった」とプロジェクトリードが語る

HomebrewチームがmacOSおよびLinux向けの人気オープンソースパッケージマネージャー「Homebrew」のバージョン6.0をリリースしました。今回のリリースでは、パッケージの信頼管理に関する新たな仕組みが導入されたほか、macOSで既に実装されていたサンドボックス機能がLinuxにも対応しています。

Homebrew 6.0ではタップ信頼(tap trust)機能が導入されました。「タップ」とは、Formulae(ビルド定義)、Cask(プリコンパイル済みバイナリのパッケージ)、コマンドなどをGitリポジトリにまとめたコレクションのことです。公式Homebrewタップはデフォルトで信頼されますが、任意のRubyコードを含む可能性があるサードパーティ製タップについては、コードのインストールや実行の前にユーザーの明示的な同意が必要となります。

タップ信頼は、Homebrewのサプライチェーンセキュリティ戦略の一環です。Homebrewのセキュリティアプローチにはいくつかの特徴があります。パッケージのメンテナはパッケージ作者ではなくHomebrew本体のメンテナが担当しており、パッケージ名はメンテナが管理することで人気パッケージに似せた紛らわしい名前(タイポスクワット)を排除できます。各ダウンロードにはSHA-256チェックサムが紐付けられており、バイナリはソースからビルドされます。この仕組みにより、今年発生したTrivyへの侵害事件(公式バイナリが悪意あるバージョンに差し替えられた事件)のような攻撃からも保護されます。これらをはじめとするHomebrewのセキュリティ機能の詳細は、ドキュメントに記載されています。

プロジェクトリーダーのMike McQuaid氏は「Homebrewは10〜15年前の時点で、今日のnpmよりも脆弱性が少ない状態でした。信頼モデルが根本的に異なりますし、現在でもセキュリティのために後方互換性を積極的に破る姿勢を保っています」と述べています。

新たなセキュリティ機能として、Homebrewがソフトウェアをコンパイルする際のLinuxサンドボックスが追加されました。macOSでは既に10年前から実装されていた機能ですが、バージョン6.0ではBubblewrapプロジェクトをベースとしたLinux向け実装が追加され、開発者向けにデフォルトで有効化されます。

新しいサブコマンドbrew vulnsでは、オープンソース向け脆弱性データベース「OSV」との照合により、インストール済みパッケージに既知の脆弱性がないかチェックできます。

Homebrew 6.0 adds a vulnerabiltity checker for installed packages

今年初めに実施された開発者向けアンケートで最も要望が多かった機能として、brew installおよびbrew upgradeコマンドに「確認モード(ask mode)」が追加されました。これにより、実行前に依存関係のサマリーが表示され、ユーザーに確認を求めるプロンプトが出るようになります。

新たに追加されたbrew execコマンドは、npmパッケージにおけるnpxに相当する機能で、Homebrewが提供する実行ファイルを直接実行できます。

Homebrew 6.0では起動パフォーマンスも向上しています。ボトル(プリビルド済みパッケージ)の並列フェッチやその他の最適化により、起動が高速化されたとのことです。

AppleはIntel macOSのサポートを段階的に終了しており、将来のmacOSバージョンおよびIntel互換レイヤー「Rosetta」についても同様の方針を示しています。Homebrewもこれに追随する形で、今年9月以降はmacOS Intel向けの新しいボトルのビルドを停止し、2027年9月からはmacOS Intelを「完全に非対応とし、関連コードをすべて削除する」予定です。詳細はHomebrew 6.0を紹介した公式ブログ記事に記載されています。

Homebrewは開発者から広く支持されており、macOSのみならずLinuxでも人気が高まっています。ただし、Intelサポートの廃止については一部から不満の声も上がっています。「Intelサポートの廃止は急ぎすぎです!私の知り合いでMacをサーバーとして使っているMacファンはほぼ全員Intel機を使っています。Appleよりも1年も早くサポートを打ち切るのですか!」とあるユーザーが指摘しています

これに対しMcQuaid氏は、サポート終了後も1年間は「Tier 3」(ほぼ非サポート)として引き続き動作すること、また「コミュニティのために『Intelbrew』を立ち上げてサポートする取り組みを妨げるものは何もない」と回答しています。また、GitHubが2027年末にCI用のmacOS Intelランナーを廃止予定であることも、判断材料の一つとして挙げています。

なお、Homebrew 6.0の開発ではAIコーディングが積極的に活用されました。責任あるAI利用に関するドキュメントでは、AIによる貢献は必ず開示し人間がレビューすること、コードに対する責任はAIではなく人間のコントリビューターが負うことが明記されています。

McQuaid氏は「AIは責任ある使い方をすれば非常に有効です。責任ある使い方とは、PRの提出前にすべての変更を人間がレビューし、マージ前にメンテナがレビューするということです。責任を持って活用した結果、個人的な作業効率が大幅に向上しました」と語っています。®

翻訳元: https://www.theregister.com/devops/2026/06/17/homebrew-60-released-with-new-security-mechanism-linux-sandbox-and-more/5257570

ソース: theregister.com
#DevOps #Homebrew #Intel Mac #Linux #MacOS #オープンソース #サプライチェーンセキュリティ #サンドボックス #パッケージマネージャー #脆弱性スキャン

関連記事

シスコ、最大深刻度の脆弱性アドバイザリに新たなSD-WAN機器を追加

ヘルプデスク詐欺師が自宅訪問まで実施——嘘をよりリアルに見せるために

サイバー攻撃で農作物が収穫できず