グーグル、ソフトウェアサプライチェーンのインテグリティ保証に向け「SLSA」フレームワーク提案

今回は「グーグル、ソフトウェアサプライチェーンのインテグリティ保証に向け「SLSA」フレームワーク提案」についてご紹介します。

関連ワード （ソフトウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Googleは、ソフトウェアサプライチェーン攻撃の脅威拡大に対処する手段として、「Supply-chain Levels for Software Artifacts」（SLSA）フレームワークを提案している。SLSAは「サルサ」と発音される。

　高度な技術を持つ攻撃者は、ソフトウェアサプライチェーンがソフトウェア業界の弱点であることを把握している。Googleは、大きな衝撃を与えたSolarWinds製品に対する攻撃や、先頃の「Codecov」へのサプライチェーン攻撃について指摘している。Codecovのインシデントでは、Codecovの「Bash Uploader」スクリプトが改ざんされ、サイバーセキュリティ企業のRapid7に影響した。

　Googleによると、サプライチェーン攻撃は目新しいものではないが、この1年ほどで増加している。同社は、既知の脆弱性やソフトウェアのゼロデイ脆弱性が悪用される問題などからサプライチェーン攻撃へとフォーカスする分野をシフトさせている。

　GoogleはSLSAについて、「ソフトウェアサプライチェーン全体でソフトウェアのアーティファクトのインテグリティ（整合性）を確保するためのエンドツーエンドのフレームワーク」と説明している。

　SLSAは、Google社内の「Binary Authorization for Borg」（BAB）から着想を得ている。Googleは8年以上前からBABを利用している。BABはコードの出所を確認し、コードIDを実装する。

　BABの狙いは、Googleで展開される本番ソフトウェア（特にコードがユーザーデータにアクセスできる場合）が適切に審査、承認されていることを確認し、インサイダーリスクを低減することにあるとGoogleのホワイトペーパーで説明されている。

　GoogleのオープンソースセキュリティチームのKim Lewandowski氏とBABチームのMark Lodato氏は、「SLSAの目標は、業界、特にオープンソースの状況を改善して、インテグリティ（整合性）に関する差し迫った脅威から防御することだ。SLSAを使用すれば、顧客は自分が使用するソフトウェアのセキュリティ体制について、十分な情報に基づいて選択することができる」と語った。

　SLSAは、開発者からソースコード、ビルドプラットフォームとCI/CDシステム、パッケージリポジトリー、依存関係に至るまで、ソフトウェアのビルドチェーンすべてで脅威を想定している。

　SLSAのフレームワークは現時点では、業界のコンセンサスによって定められた付加的に適用できる一連のガイドラインとなっているが、最終的な形は強制力によってベストプラクティスのリストとは異なるものになるとGoogleは構想している。「ポリシーエンジンに取り込まれ、特定のパッケージやビルドプラットフォームに『SLSA認証』を与える、監査可能なメタデータの自動生成に対応する」という。

　SLSAは4つのレベルで構成されており、「SLSA 4」はすべてのソフトウェア開発プロセスが保護された理想的な状態となる。

Csaj 7月1日付でソフトウェア協会（Saj）に名称変更 「圧倒的な影響力のある団体」を目指す - 週刊bcn+

コンピュータソフトウェア協会（CSAJ、荻原紀男会長）は7月1日付でソフトウェア協会（SAJ）に団体名を変更する。IoTやDXの概念の浸透などを前提に、あらゆるモノや組織・ビジネスがソフトウェアの活用を前提に動いていく時代が到来したことを受けての決断だという。

ソフトウェア技術者のためのバグ百科事典（21）【総まとめ】バグの特定手順を解説：山浦恒央の"くみこみ"な話（142 ...

ソフトウェア技術者に向けて、バグに関する基礎知識をまとめていく新シリーズ「バグ百科事典」。第21回は、シリーズの総まとめとして、バグの検出から修正までの「バグ特定手順」の一連の流れを解説します。 (1/3)

「ソフトウェアの情報共有の方法を標準化する必要がある」 Linux Foundationがツールやオンライン講座を ...

The Linux Foundationは、SPDXに準拠した新しい業界調査やオンライントレーニング、ツールを発表した。安全なソフトウェア開発に向けてソフトウェア部品表（SBOM）の使用を促進する。

誰もが使いやすいオンライン会議に!「Kaigio」専用機＆ソフトウェア (2021年6月21日) - エキサイトニュース

リモート会議向けの新サービスが続々と出ている昨今、ソースネクストから新ブランドがスタートする。■会議を変える新ブランド「KAIGIO（カイギオ）」ソースネクストはリモート会議向け製品の新ブランド「KA...

Sky、コンピューター教室での学習活動をサポートする学習活動ソフト「SKYMENU Pro 2021」を7月発売 ...

Sky株式会社は18日、学校のコンピューター教室における学習活動をサポートする、学習活動ソフトウェア「SKYMENU Pro 2021」を開発し、7月に発売する ...

Sky、学習活動をサポートする学習活動ソフトウェア「SKYMENU Pro 2021」、7月発売 | ICT教育ニュース

Skyは18日、コンピュータ教室での学習活動をサポートする学習活動ソフトウェア「SKYMENU Pro 2021」（スカイメニュープロ 2021）を開発、7月に発売すると発表した。 […]

クボタ、コロナ禍で利益151％増の強さの秘密…建機メーカーからソフトウェア企業へ変身

農機・小型建機メーカーであるクボタの業績が回復している。2021年1～3月期の連結決算では、純利益が前年同期比151％増の520億円だった。その背景には、コロナ...(1/3)

｢トヨタが車を売らなくなる日｣が目前に迫る意味 | 販売・購入 | 東洋経済オンライン | 経済ニュースの新基準

ついにトヨタが、クルマの商流を根本的に変える大仕事に着手する。新車から中古車、そして廃棄されるまでの“クルマの一生”をメーカーが管理する資産運用体制が、今後トヨタを筆頭に本格化しそうだ。具体的にどの…

システムエンジニア【Web選考で完結】】 年間休日120日/残業月平均25時間（1086382）（応募資格 ...

サイバーコム株式会社のシステムエンジニア【WEB選考で完結】】 年間休日120日/残業月平均25時間（1086382）の転職・求人情報。日本最大級の求人情報数を誇る転職サイト【エン転職】。専任スタッフによる書類選考対策や面接対策に役立つ無料サービスが充実。求人企業からのスカウトも多数。

【無料】500の大量なキックサウンドが収録されたサンプルパック「Markus Hakala's Kicks All ...

良質のキックドラムをお探しですか？もう探す必要はありません！ マーカス・ハカラの許可を得て私は彼の素晴らしいキックドラムのサンプルをすべて1つのパッケージに集めました。 したがってこのパックには合計で500の無料の壁の揺れ強力でパンチの効いたキックドラムが含まれています。 それはあなたを長い間満足させ続けるはずです！

大塚商会・NEC他、AIソフトを活用した中小企業のデータドリブン経営を支援するサービスを開発 ：SalesZine ...

大塚商会、NEC、dotData,Inc.は、データサイエンスプロセス全体を自動化するAIソフトウェア「dotData」を活用し、中堅・中小企業の各種経営指標を分析するサービスを共同開発した。これらは...

EFI スキャナー付きテキスタイル用プリンタのエントリーモデル「EFI Reggiani BLAZE」を発表 ...

プリント＆プロモーションは、印刷と販促をつなぐニュースサイト。さまざまな販促（広告、広報、宣伝活動）に関わる印刷（看板、ポスター、POP、ディスプレー、ラベル）を取材・掲載します。

【速報】フロム・ソフトウェアがPS5独占で開発中 | mutyunのゲーム+αブログ

1: mutyunのゲーム+α ブログがお送りします。 ID:cHAud3Tl0FromSoftware Working on PS5 Exclusive Bloodborne Successor Velvet Veil – Rumourフ

Equinixが開始するNFVとベアメタルサービス、注目の機能と参加ベンダーとは：デジタルインフラを支援する特効薬が ...

不確実性が高い時代に、高品質なIT基盤を低リスクでグローバル展開するには何が必要なのか。エクイニクスがグローバル展開するソフトウェア定義型のエッジ向け新サービスを、連携する主要ベンダーとの構成や導入のポイントと併せて解説する。

【Online】イスラエルの最新技術動向～ヘルス・アグリ・モビデリティ～ | CSAJ 一般社団法人コンピュータ ...

時 間 内 容 15:00～15:03: 受講にあたっての留意点（事前説明） 開会あいさつ 技術委員会委員長 15:03～16:00: イスラエル最新技術動向（仮） 講師：イスラエル大使館（調整中） 日本の農業に必須なictはほんとうにロボット？

注目のクラウドCI／CDツール、オンプレミス版との運用上の違いとは？ - ホワイトペーパー [SaaS／ASP]

継続的インテグレーションと継続的デリバリーによって開発効率を向上させ、迅速かつ安定的なソフトウェア提供を実現するCI／CDツール。SaaSとして提供されるツールは、従来のオンプレミス版とどのような点が異なるのか。

「脳画像解析プログラムBraineer」が薬事認可を取得｜ニフティニュース

認知症診断を支援するソフトウェアブレインヘルスケア事業を展開する株式会社Splink（東京都千代田区）が開発した、認知症診断支援ソフトウェア「脳画像解析プログラムBraineer（ブレイニア）」が薬事…

ソフトウェア化する都市──サイバーとフィジカルが空間融合する先に待つこと | WIRED.jp

国土交通省主導で、3D都市モデルの整備などを手がけるプロジェクト「PLATEAU」を活用し、コミュニケーション体験の拡張を目指すプロジェクト「GIBSON」を立ち上げたMESON梶谷健人が描く、サイバーとフィジカルが空間融合した先の世界とは── 。制約を超えてつながり合うディスタントネイバーフッドへの青写真について語った。（雑誌『 WIRED』日本版VOL.41から転載）

Microsoft、Windows Update通じた Windows 7へのドライバー提供を終了 | 財経新聞

Microsoft は17日、Windows Update を通じた Windows 7 SP1/Server 2008/2008 R2 のドライバー提供を同日終了すると発表した。

PS5の新機能を試すチャンス!『PlayStation 5システムソフトウェア』のベータテスト参加者募集開始 ...

playstation公式ページにてPlayStation 5のゲーム体験をより良いものにするために、「PlayStation 5システムソフトウェアのベータプログラム」への参加者を募集しています。 こんに […]

エヌ・ティ・ティ・システム開発株式会社の人事ブログ(当社の選考には、説明会参加必須です!)｜リクナビ2022

【リクナビ2022】エヌ・ティ・ティ・システム開発株式会社の人事ブログ。こんにちは！エヌ・ティ・ティ・システム開発(株)人事部です。当社の選考を希望される方には、まずは必ず会社説明会にご参加いただきます。当社について知っていただくのはもちろんのこと、求める人物像や選考案内等…

Csaj 7月1日付でソフトウェア協会（Saj）に名称変更 「圧倒的な影響力のある団体」を目指す ｜ビジネスツール ...

グループウェア GroupSessionをご利用の皆様へ　天気予報や社会・経済・政治など各分野の最新ニュースなど、ビジネスに役立つ情報をお届けいたします。

80万台売れてるはずのPS5さん、FF7が2万本、ラチェクラが1万本ってマジ？

合計ソフトウェア売上高：6808億円 1本あたりの売上平均：2009円 Switch パッケージ版売上高：4599億円 Switch パッケージ併売DL版売上高：2036億円（DL専売タイトル含まず） 合計ソフト売上高：6635億円 任天堂側の集計で手加減してもらってるから並んでるだけで

Outlookが応答しないエラーを修正する方法に関するベストガイド

Outlookが応答しないというエラーが発生しましたか？ もしそうなら、この記事を読んでください。このタイプのエラーを修正する方法を紹介します。

【西川和久の不定期コラム】無料でWin32/64アプリがBig Surで作動!Apple M1も対応の ...

以前、M1搭載Mac miniの試用記でWindows環境として「CrossOver 20」をご紹介した。それほど高価でもないのだが、ちょっとWindowsアプリを動かすのには ...

｢トヨタが車を売らなくなる日｣が目前に迫る意味 脱･製販分離で中古車を新車ラインに流す妙技（東洋経済オンライン ...

｢トヨタが車を売らなくなる日｣が目前に迫る意味 脱･製販分離で中古車を新車ラインに流す妙技（東洋経済オンライン）ついにトヨタが、クルマの商流を根本的に変える大仕事に着手する。新車から中古車、そして廃棄されるまでの“クルマの一生”をメー…

#5 Armored Core Verdict Day 初見実況 カデちゃんねる アーマードコアvd 初見プレイ ...

ARMORED CORE VERDICT DAY 初見実況 ポンコツ 脳筋 Vtuber カデちゃんねる アーマードコアVD 初見でやっちゃうぞ～!!!　死にゲーが大好きなポンコツ脳筋Vtuberのカデです。フロムソフトウェアのゲームが特に大好きです。アクションゲームを死にゲーのように遊んでしまう特性もあります...

キッチン設備の加Oasis Kitchens、顧客自身がキッチンをデザインできる3Dソフトウェアを導入 ...

ソフトウェアを提供する仏ダッソー・システムズの日本法人が2021年6月3日に発表した。 カナダのベンチャー企業Oasis Kitchensが導入を進めるのは、顧客自身がキッチンを3D（3次元）でデザインできるソフトウェア「Oasis Kitchens Planner」。

Holoeyes，医療用画像3D空間表示サービス「Holoeyes MD」や医療教育を行えるクラウドサービス ...

Holoeyes（株）は，管理医療機器（クラスⅡ）認証を取得した，汎用画像診断装置ワークステーション用プログラム「Holoeyes MD」，および医療用画像表示サービス（非医療機器）「Holoeyes XR」，オンライン遠隔共有カンファレンス サービス「Holoeyes VS」，VR医療教育プラットフォーム「Holoeyes Edu」が経済産業省が推進する「IT導入補助金2021」における補助金対象ITツール 通常枠（A類型）に認定されたことを発表した。

浦安よりご来店 iPhone7Plusリンゴループ修理| iPhone修理ダイワンテレコム

このようなソフトウェア不具合なども当店ではお直し可能です! もちろん他にもガラス割れ、液晶破損、バッテリー交換、水没修理も即日修理が可能です!