Last updated on 2024年2月24日
リリース内容
Open Source Security Foundation (OpenSSF) のSecuring Software Repositories Working Groupは、パッケージリポジトリのセキュリティ能力を評価し、将来の改善へのロードマップを支援するためのフレームワーク、「パッケージリポジトリセキュリティの原則」のバージョン0.1をリリースしました。このフレームワークは、OpenSSFとCybersecurity and Infrastructure Security Agency (CISA)の間のコラボレーションを代表しており、オープンソースエコシステムをさらに強化する目標を持っています。
このフレームワークは、パッケージリポジトリがセキュリティ成熟度を自己評価し、時間をかけてプラットフォームを強化する計画を立てるのに役立ちます。セキュリティ成熟度は、認証、認可、一般的な能力、およびコマンドラインインターフェース(CLI)ツールの4つのカテゴリーにわたるパッケージリポジトリの4つのレベルで定義されます。
フレームワークを通じて、パッケージリポジトリは、セキュリティ改善に関する高い影響を持つセキュリティ能力を迅速に推進することができます。セキュリティ改善を採用するための一般的なステップには、セキュリティ能力に焦点を当てた提案の作成、コミュニティレビューと承認のための提案の提出、提案が実装のバックログに移動するか、実装を優先するための資金を求めることが含まれます。
OpenSSFは、パッケージリポジトリがセキュリティ改善のロードマップを開始またはさらに成熟させることができるように、この一般的なフレームワークを提供しています。同時に、完了した提案のための資金提供の機会を活用することをパッケージリポジトリに奨励しています。年間を通じて、多くの基金、企業、政府がオープンソースパッケージリポジトリの改善を支援してきました。
このフレームワークは自発的なものであり、パッケージリポジトリが実行しなければならないものとしての義務ではありません。いくつかのパッケージリポジトリから貴重なフィードバックを受け取り、将来のバージョンを形作るための追加のフィードバックを楽しみにしています。
セキュリティの脅威は時間とともに変化し、それらの脅威に対処するセキュリティ能力も変化します。OpenSSFの目標は、パッケージリポジトリがより迅速にセキュリティ能力を提供し、それらのエコシステムのセキュリティを強化するのに役立つセキュリティ能力を提供することを支援することです。
OpenSSF Securing Software Repositories Working Groupについての詳細はこちら
フレームワークの要約
Open Source Security Foundation (OpenSSF) のSecuring Software Repositories Working Groupは、パッケージリポジトリのセキュリティを強化するための一連の原則とフレームワークを発表しました。このフレームワークは、パッケージリポジトリがセキュリティ成熟度を自己評価し、改善のためのロードマップを策定するのに役立ちます。
パッケージリポジトリのセキュリティ能力
フレームワークは、セキュリティ成熟度を4つのレベルに分類し、それぞれのレベルは認証、認可、一般的な能力、およびCLIツールの4つのカテゴリーにわたるセキュリティ能力を定義します。
- レベル0: セキュリティ成熟度が非常に低い。
- レベル1: 基本的なセキュリティ成熟度を持ち、多要素認証(MFA)のサポートやセキュリティ研究者が脆弱性を報告できるようにするなどの基本的なセキュリティ機能を含む。
- レベル2: 中程度のセキュリティを持ち、重要なパッケージに対するMFAの要求や既知のセキュリティ脆弱性に対するユーザーへの警告などのアクションを含む。
- レベル3: 高度なセキュリティを持ち、すべてのメンテナに対するMFAの要求やパッケージのビルド証明のサポートなどのアクションを含む。このレベルは、特に小規模なパッケージ管理エコシステムにとってはより志向的です。
セキュリティ能力の詳細
- 認証: ユーザーアカウントを持つパッケージリポジトリに適用され、メールアドレスの確認、アカウント回復ポリシーの文書化、強力なMFAのサポート、重要なアカウントセキュリティ変更のメール通知などが含まれます。
- 認可: ユーザーアカウントを持ち、ビルド済みパッケージを受け入れるパッケージリポジトリに適用され、特定のパッケージにスコープされたAPIキーの提供や、ロールベースのアクセス制御(RBAC)のサポートなどが含まれます。
- 一般的な能力: すべてのパッケージリポジトリに適用され、脆弱性開示ポリシーの公開、タイポスクワッティング攻撃の防止策、マルウェアの検出手順、依存関係のセキュリティ脆弱性に対する警告などが含まれます。
- CLIツール: パッケージ管理エコシステム全体に適用され、ハッシュやバージョンに基づいて依存関係をインストールする機能、依存関係のセキュリティ脆弱性に対する警告、SBOMの生成機能などが含まれます。
このフレームワークは、パッケージリポジトリがセキュリティ改善のロードマップを策定し、実装するためのガイドラインを提供します。OpenSSFは、オープンソースエコシステムのセキュリティを強化するために、このフレームワークを通じてパッケージリポジトリと協力していくことを目指しています。