OpenSSFが2023年におけるOpenSSFコミュニティの活動と、その成果を公開した「2023 アニュアルレポート」を公開

こんにちは、吉田です。今回は、2020年に「OSSのセキュリティ全般(OSSの開発側, OSSを使う側双方)」をスコープとして設立されたThe Linux Foundation傘下の団体であるOpenSSF(Open Souce Security Foundation)が、2023年におけるOpenSSFコミュニティの活動と、その成果を公開した「2023 アニュアルレポート」を紹介します。

【参照】2023 アニュアルレポート
https://www.linuxfoundation.jp/openssf_annual_report_2023_jp

現在、OpenSSFのメンバーは、北米(77)、ヨーロッパ(13)、アジア(15)、中東(1)にまたがり、100を超えるまでに成長しています。OpenSSFの戦略はセキュアな開発を容易にするツールやプロセスを開発し、ベストプラクティスの理解を深め、革新的な技術的取り組みをサポートすることでOSSのセキュリティを強化することを目的としています。

本レポートでは、2023年のハイライトとして、下記のようなものが挙げられています。

• ソフトウェアセキュリティ教育とセキュリティガイドライン：
  22,000人以上の開発者が、安全なソフトウェア開発の基礎に関するOpenSSFのコースを受講しました。また、より安全なソフトウェア開発を支援するベストプラクティスの改善を支援するために、開発者、利用者、セキュリティコミュニティ向けのさまざまなガイドを共同で作成しました。
• オープンソースソフトウェアの評価と基盤の改善：
  オープンソースソフトウェアのセキュリティを利用者やメンテナーがより効率的に評価できるように、オープンソースソフトウェアパッケージに関するセキュリティ情報の入手を簡素化しました。以下に3つの例を示します：
  • OpenSSFスコアカード：
    OSSプロジェクトを様々なソフトウェアセキュリティ基準に照らして自動的に評価し、現在では100万を超えるOSSプロジェクトに対し、このスコアカードスキャンを実施しています。最近では、GitHubに加えてGitLabのサポートも追加しました。
  • ソフトウェアアーティファクトのためのサプライチェーンレベル(SLSA)：
    SLSAは改ざんを防ぎ、完全性を向上させ、パッケージとインフラを安全にするためのフレームワークです。SLSAバージョン 1.0は昨年4月にリリースされ、npmに採用されています。
  • Sigstore：
    Sigstoreはソフトウェアのサプライチェーンセキュリティを向上させるオープンソースプロジェクトで、Sigstoreフレームワークとツールはソフトウェア開発者と利用者がリリースファイル、コンテナ イメージ、バイナリ、ソフトウェア部品表(SBOM)などのソフトウェア アーティファクトに安全に署名し検証できるようにします。

次に、OpenSSFのワーキンググループをいくつか紹介します。

・オープンソース開発者のためのベストプラクティス
このグループは、オープンソース開発者にベストプラクティスに関する推奨事項と、適用する簡単な方法を提供するために活動しているグループです。2023年のハイライトとしては、下記のようなものが挙げられます。

• ソースコード管理のベストプラクティスやC/C++コンパイラ強化オプションなどのガイドの作成
• 安全なソフトウェア開発指導原則1.0のリリース
• Sterling Toolchainの概念を推進するためにSecurityToolbelt SIGを採用(安全なオープンソースの作成者と利用者が使用できる一連の望ましい機能のセットおよびオープンソースの制作、構成、配信、使用がどのように攻撃されるかを詳細に説明する一連の脅威モデルの開発(それらのリスクを管理する方法に関するガイダンス付き)とともに、財団全体で使用するための標準的なペルソナの開発も含まれる)
• OSS-NAおよびOSS-EUで実施した、メンテナーとプロジェクトがベストプラクティスバッジとスコアカードを統合および採用する方法に関するプレゼンテーション
• 多様性、公平性、包括性(DEI) SIGは、オープンソース開発／サイバーセキュリティに携わろうとしている新しい専門家と交流するために、毎月のオフィス アワーを開催。これは最終的に独自のワーキンググループに昇格

次のステップとしては、「なぜ開発ライフサイクル全体を通じてアプリケーションセキュリティの実践とツールを使用する必要があるか」という点に着目した開発者マネージャートレーニングクラスをリリースしたり、プロジェクトがさまざまなOpenSSFプロジェクトを統合するのに役立つOpenSSFプロジェクトのトレーニング資料とドキュメントの作成を予定しています。

・エンドユーザ
このグループは、オープンソースを開発するのではなく、主にオープンソースを利用する組織の利益を代表するグループです。2023年のハイライトとしては、OSS利用者向けの脅威モデルを構築するためのSIGを立ち上げ、モデルの開発を着実に進めているほか、オープンソース利用マニフェストを採用しました。また、新しいメンバーを募集するために積極的に連絡を取って、さらに多くのメンバーを見つけようとしています。

オープンソースを利用する組織の声はメンテナーやベンダーのニーズや問題と異なることがありますが、これらは、確実に反映されることがとても重要なものなので、今後の活動に期待したいと思います。

・メトリクスとメタデータ
このグループは関連するメトリクスとメタデータを収集、整理、伝達することにより、情報に基づいたOSSのセキュリティの信頼性を実現するグループです。OpenSSFスコアカード、OpenSSFベストプラクティスバッジ、貢献データ、脆弱性データ、その他の情報からのデータを2024年にリリースするリスクダッシュボードに集約することにより、オープンソースの利用者がリスクを理解できるように関連するメトリクスを提供する予定です。

また、OSSメンテナーがプロジェクト内で実施されているセキュリティ体制と実践に関する情報を、人が読める形式と機械が読める形式(YAML)の両方で表現する方法を提供するSecurity Insightsのv1.0.0を昨年10月にリリースしました。

・セキュリティツール
アクティブなプロジェクトとして、下記の3つが挙げられています。

• Fuzz Introspector：
  OSS-Fuzzは現在、合計1227件のオープンソースプロジェクトを継続的にファジングしている。プロジェクトはFuzz Introspectorツールによりコードカバレッジ分析され、これらのいずれかのビルドが成功したデータのみが表示される
• SBOM Everywhere：
  Istio、Snyk、EVE-OS、Yoctoなどの組織による実際のSBOMの使用状況をレビューする。オープンソースプロジェクトと直接連携してセキュリティのためのSBOMユースケースを計画する
• SBOMit：
  追加の検証情報を使用してコンポーネントを証明するためのSBOM形式に依存しない方法。これらの証明書はサプライチェーンの生成時に生成される

今回紹介した以外にも、多くのワーキンググループがあります。興味のある方は、ぜひ本レポートをお読みいただき、セキュリティに関する知見を深めていただければと思います。