Open Source Security Foundation(OpenSSF)は、オープンソースプロジェクトのセキュリティ態勢を改善することを目的とした新たなベストプラクティス一式を公開し、「重要なマイルストーン」だと述べた。
Open Source Project Security(OSPS)ベースラインは、リスクを低減し、信頼を高め、EUのサイバーレジリエンス法(CRA)などの世界的な規制への準拠を改善するために、開発者が整備すべき各種タスク、プロセス、成果物、設定を概説している。
また、NIST Secure Software Development Framework(SSDF)など、他のベストプラクティス標準やフレームワークとも整合しているとOpenSSFは述べた。
OSPSベースラインは、OpenSSFおよび他の業界団体が提供する既存のベストプラクティス指針を基に編纂され、プロジェクトの成熟度に応じて異なる「段階的フレームワーク」の活動を提示する。
オープンソースセキュリティに関する記事を読む:オープンソースリポジトリへの攻撃、3年間で700%急増。
独立系のオープンソースコミュニティマネージャーである Stacey Potter氏は、この取り組みがパイロット展開中のフィードバックから恩恵を受けたと述べた。
「世の中にあるあらゆるセキュリティ標準を把握して進めるのは大変になり得ると分かっているので、プロジェクトとともに成長するフレームワークを構築しました」と彼女は付け加えた。「私たちの目標は、推測に頼る部分をなくし、余計な負担を増やすことなく、メンテナーが自分たちの現状に自信を持てるよう支援することです。コミュニティに力を与え、誰にとってもオープンソースをより安全にすることが重要なのです。」
Kusariのオープンソースコミュニティリードであり、OSPSベースラインの共同メンテナーであるBen Cotton氏は、開発者がセキュリティ態勢を改善するのに役立つ「実行可能で実務的な指針」を提供することに焦点を当てていると述べた。
「セキュリティに関する助言は曖昧だったり非現実的だったりすることが多いですが、ベースラインはそれを変えることを目指しています」と彼は主張した。「オープンソースセキュリティの改善は一つひとつが現代のソフトウェアエコシステムを強化し、誰にとってもより安全なものにします。」
慎重ながら歓迎
Endor Labsの創設プロダクトマネージャーであるJamie Scott氏は、この取り組みを慎重ながら歓迎しつつも、小規模プロジェクトにガイドラインの遵守を期待することはできないと主張した。
「OpenSSFのセキュリティベースラインは、業界にとって諸刃の剣です。私たちを前進させる可能性もあれば、足かせになる可能性もあります。鍵となるのは、どう使うかです」と彼は主張した。
「妥当なのは、成熟度レベルを可視化し、民間部門が情報に基づいたリスク管理の意思決定を行えるようにすることです。そうしてこそ、これらのベースラインをオープンソースプロジェクトの成熟度を示す意味のある象徴にできます。」
Black DuckのシニアマネージャーであるMike McGuire氏は、OSPSベースライン がソフトウェアサプライチェーンリスクの低減に役立つはずだと述べた。
「アクセス制御、脆弱性管理、ブランチ保護といった取り組みは、攻撃者が正当なプロジェクトを乗っ取り、サプライチェーン攻撃の種を仕込むために利用する一般的な経路を封じます」と彼は述べた。
「しかし、プロジェクト所有者が何をしようとも、開発組織が活用しているオープンソースの管理により多く投資しない限り、商用アプリケーションがこれまで以上に安全になることはありません。開発組織が活用しているオープンソースプロジェクトを追跡しておらず、リスクやOSPSベースラインのようなフレームワークへの準拠状況を評価していないのであれば、残存する脆弱性への対応に引き続き苦しむことになるでしょう。」
翻訳元: https://www.infosecurity-magazine.com/news/openssf-security-framework-open/
