SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

CodeZineニュース

Google、サプライチェーンへの整合性攻撃の被害を防ぐソリューションとしてSLSAを提案

  • X ポスト
  • このエントリーをはてなブックマークに追加

  • X ポスト
  • このエントリーをはてなブックマークに追加

 米Googleは、近年増加傾向にあるサプライチェーンへの整合性攻撃による被害を防ぐためのソリューションとして、「ソフトウェアアーティファクトのサプライチェーンレベル」(SLSA)を提案している。

 SLSAは、ソフトウェアサプライチェーン全体でソフトウェアアーティファクトの整合性を確保するためのエンドツーエンドのフレームワークで、業界の中でもとりわけオープンソースの状態を改善して、もっとも差し迫った整合性の脅威からの防御を目的とする。

 SLSAを使用することで、消費者はソフトウェアのセキュリティ体制について情報に基づいた選択を行えるようになる。

 現時点では、SLSAは業界のコンセンサスによって確立されている、段階的に採用可能な一連のセキュリティガイドラインであり、最終的にはSLSAは強制力という点でベストプラクティスとは異なり、特定のパッケージまたはビルドプラットフォームに「SLSA認証」を与えるために、ポリシーエンジンにフィードできる監査可能なメタデータの自動作成をサポートする。

 SLSAは、SLSA 1~SLSA 4の4段階のレベルで構成されており、SLSA 1はビルドプロセスが完全にスクリプト化/自動化され、来歴を生成する必要がある。SLSA 2ではバージョン管理と認証された来歴を生成するホスト型ビルドサービスを使用する必要があり、SLSA 3ではさらにソースプラットフォームとビルドプラットフォームが特定の基準を満たし、ソースの監査可能性と来歴の整合性をそれぞれ保証することが求められる。最高レベルのSLSA 4では、すべての変更を2人で確認し、密封性と再現性のあるビルドプロセスを行う必要がある。

 Goolgeは、ビルドアーティファクトとともに来歴を作成してアップロードできる、SLSA 1の来歴ジェネレータの概念実証を6月16日(現地時間)にリリースしており、ワークフローにスニペットを追加することで、SLSA 1の実現が可能になる。

 さらに今後は、人気のあるソース、ビルド、パッケージングプラットフォームと連携して、より高いレベルのSLSAに、簡単に到達できるようにする。同プランには、ビルドシステムでの来歴の自動生成、パッケージリポジトリでの来歴のネイティブな伝播、主要なプラットフォーム全体でのセキュリティ機能の追加が含まれている。

関連リンク

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
この記事の著者

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/14387 2021/06/18 08:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング