グーグル、ソフトウェアサプライチェーンのセキュリティ向上へ–「Assured OSS」発表

今回は「グーグル、ソフトウェアサプライチェーンのセキュリティ向上へ–「Assured OSS」発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleは、新たなイニシアティブでソフトウェアサプライチェーンのセキュリティ向上を目指す。同社の開発者がコードの構築と保守に使用しているものと同じセキュアパッケージを、企業向けオープンソースソフトウェア(OSS)のユーザーに提供していくという。

 Googleは、OSSサプライヤーを狙ったサイバー攻撃は前年比で650%増加しており、アップストリームのオープンソースエコシステムで脆弱性を悪用することを狙っていると指摘する。

 Google Cloudのセキュリティ部門バイスプレジデントのSunil Potti氏は次のように説明する。「これこそが、Googleが真摯に取り組んできた点だ。つまり、デジタルサプライチェーンにおける課題にいかに先回りするかということだ。物理的なサプライチェーンで今日われわれが置かれているのと同じ体制ではない」

 「デジタルサプライチェーンでこれに相当するのがOSSだ。サプライチェーンにおける安全性の確保はエンドツーエンドの観点から行う必要がある中で、世界のほぼすべての企業はOSSに触れている」(Potti氏)

 「Assured Open Source Software」(Assured OSS)サービスとしてGoogle Cloudの顧客に提供されるパッケージには、検証可能な形式でGoogleによって署名されるほか、定期的に脆弱性のスキャンと分析を実施することで、ユーザーを脆弱性や悪用から可能な限り保護する。

 また、パッケージはGoogleの「Cloud Build」プラットフォームを使用して構築され、「SLSA」(ソフトウェアアーティファクトのサプライチェーンレベル)準拠で検証可能な証拠を得られる。さらに、Googleが安全性を確保し、保護する「Artifact Registry」(アーティファクトレジストリー)から配布される。SLSAフレームワークは、コードの改ざん防止や整合性の向上、パッケージ保護などを目的としている。

 これは、Google社内で実際に使用されているプロセスに基づく。エンドツーエンドのプロセス全体で各ステップがアクティブに保護されるとともに、ソースコードの保護されたコピーが個別に管理されるというものだ。

 Googleはブログ記事で、「Assured OSSで、顧客企業はGoogleが社内で使用しているものと同じOSSパッケージにアクセスできるようになり、当社が社内のOSSポートフォリオに適用している綿密なエンドツーエンドのセキュリティ機能とプラクティスから直接的なメリットを得ることができる」と説明している。Assured OSSは2022年第3四半期にプレビューとなる見通しだ。

 サプライチェーンの脆弱性はサイバー犯罪者に狙われやすく、多くのインシデントは、攻撃者が新たに見つかったゼロデイサイバーセキュリティの脆弱性を悪用することに端を発する。セキュリティパッチが提供されても、組織は展開に時間を要する場合があるため、攻撃に脆弱な状態になりやすい。

 Google Cloudは、今回の新サービスによって、オープンソースやサプライチェーンの脆弱性管理を容易にし、組織の規模を問わずサイバー攻撃に対する安全性を確保できるように支援したいと考えている。

 Potti氏は次のように述べた。「社員が2人だけの店から、従業員10万人の銀行まで、あらゆる企業のための手段だ。今回われわれがAssured OSSパッケージという形で市場に投入するのは、Googleが長年にわたって自社の開発者を保護するために投資してきたオープンソースパッケージのキュレーションされた精選セットだ。コードを利用したり構築したりするあらゆる顧客が活用するものだ」

COMMENTS


Recommended

TITLE
CATEGORY
DATE
みんなの銀行、クラウドERPで会計基盤を構築
IT関連
2021-06-16 19:50
ヴイエムウェア、CEOにCOOのラグー・ラグラム氏指名–ゲルシンガー氏後任
IT関連
2021-05-13 20:38
変形し空を飛ぶ空陸両用車「AirCar」、スロバキアKlein Visionがプロトタイプの都市間飛行に成功
モビリティ
2021-07-02 13:09
映画「ゆるキャン△」、22年全国で公開
くらテク
2021-04-02 21:58
「Windows 11」、マイクロソフト社内のアップグレードプロセスはいかに
IT関連
2022-05-03 10:22
「ぼくの地球を守って」「高嶺と花」全話無料公開 白泉社のまんがアプリで
くらテク
2021-06-05 01:51
Clubhouse体験、Apple CarPlayならさらに快適 iPhoneをVWゴルフのCarPlayにつないで試してみた
IT関連
2021-02-10 07:23
Geoloniaがオリジナルの地図を作成できる「Geolonia Maps」正式版を開始、1000アクセスまで無料・10万アクセスまで3万円
ネットサービス
2021-08-07 21:35
メルカリ、顧客情報など2万7000件以上流出 外部ツールへの不正アクセスで
セキュリティ
2021-05-22 20:22
ゆうちょ銀行、全国233店舗で「LINE WORKS」運用–顧客接点を強化
IT関連
2022-07-10 21:40
東京大学が人体のデジタルツイン作成を完全自動化、ビデオ映像入力から運動解析・筋活動解析・データベース化まで
IT関連
2022-03-08 12:35
マイクロソフト、クラウドで開発者向け仮想ワークステーションを提供する「Dev Box」
IT関連
2022-05-26 02:45
NFTカードゲームとウォレットのHorizon Blockchain Gamesはブロックチェーンの大衆化を目指す
ブロックチェーン
2021-08-01 16:11
東京メトロ、公式アプリに地下鉄構内のナビ機能 銀座駅など全23駅に対応
企業・業界動向
2021-03-25 04:38