RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供

今回は「RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供」についてご紹介します。

関連ワード (不可欠、予定、発見等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Ruby言語用のパッケージであるGemのホスティングサービス「RubyGems.org」を運営するRuby Centralは、RubyやRailsに対するサプライチェーン攻撃への対応を行うプロジェクト「Ruby Shield」を開始すると発表しました。

Today we’re excited to announce Ruby Shield

This new initiative in partnership with @ShopifyEng will support open-source and enable us to take on new security-focused projects to better protect our communities.

What is this & why are we doing it?

1/

— rubycentralorg (@rubycentralorg) July 6, 2022

Ruby Shieldは4年にわたり100万ドル(1ドル130円換算で1億3000万円)が投資されます。この資金はECサイト構築サービスを提供する「Shopify」の寄付によってまかなわれる予定です。

サプライチェーン攻撃への対応の必要性が高まっている

一般にオープンソースは単独で成立しているわけではなく、あるオープンソースは数多くのオープンソースによるライブラリやコンポーネントに依存しています。

そのため、何らかのオープンソースに脆弱性が発見されると、ドミノ倒しのようにそこに依存するさまざまなオープンソースにも影響します。

このようなオープンソースの依存性に着目し、悪意のある人物によってよく使われるライブラリやコンポーネントなどの脆弱性が利用され攻撃されることを一般に「サプライチェーンに対する攻撃」あるいは「サプライチェーン攻撃」などと呼ばれます。

昨年(2021年)末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えた例として、このサプライチェーン攻撃への注目度を一気に高めました。

参考:広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

この状況を受けて1月には兵ホワイトハウスが政府関係機関や主要なITベンダを呼んでソフトウェアセキュリティに関する会議を開催。2月にはLinux Foundation傘下のOpen Security Software Foundation(OpenSSF)は、オープンソースソフトウェアのサプライチェーン問題を改善し安全性を高めるための大規模なプロジェクト「Alpha-Omega Project」(アルファ-オメガプロジェクト)の開始を発表しました。

参考:オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに

今回Ruby Centralが発表したRuby Shieldは、こうしたサプライチェーン攻撃に対応するRubyやRails関連の動きの1つと言えるでしょう。

Ruby Central自身がこのRuby Shieldに取り組む意義をツイートで説明していますので、それらを引用します。

First, why?

Open-source supply chains are increasingly under attack with some reports showing a 650% YoY increase from 2021 — all while the supply & demand for open-source is exploding!

2/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(なぜこれに取り組むのか? オープンソースのサプライチェーンへの攻撃は増加しており、あるレポートによると2021年から前年比650%増とされています。その間にも、すべてのオープンソースの供給と需要は爆発的に増加しています。)

For us, Ruby Shield is an important part of maintaining (and improving) the high-trust environment necessary for open-source to work for the community.

Ruby Shield is a 4yr plan to support engineering work on RubyGems & libraries/tools crucial to the OSS supply chain.

3/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Shieldは私たちにとって、オープンソースがコミュニティのために機能する上で必要な高い信頼性を維持(そして改善)するための重要な役割を担っています。Ruby ShieldはOSSのサプライチェーンに不可欠なRubyGemsやライブラリやツールのエンジニアリング作業を4年間に渡り支援する計画です。)

We’re contracting engineers so we can confidently build out security & stability for years to come at a larger scale than ever before.

Examples of where you may see this at work:
– Operations & security engineering.
– Improving tools like bundler.
– Improved MFA support.

4/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(我々はエンジニアと契約しており、確実に今後数年に渡り、これまで以上に大規模なセキュリティと安定性を築き上げることができます。具体的には次のような成果を目にすることができるでしょう。 – 運用およびセキュリティエンジニアリング – bundlerなどのツールの改善 – MFAサポートの改善)

We’ve been funding this type of work for years, but with a $1M commitment (over the next 4 years) and collaboration with Shopify to support this we’re even more excited than ever about how we can scale this work.

5/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(私たちはこれまで何年もこの種の活動に資金提供してきましたが、100万ドルのコミットメント(今後4年間)とShopifyとのコラボレーションにより、この活動の拡大にこれまで以上に期待しています。)

Ruby Central will have full control of the priorities and how best to allocate the resources for this program. Together with Shopify, we’ll be publishing a periodic report to share the ongoing work being done to improve safety & security for the Ruby/Rails community.

6/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Centralはこのプログラムの優先順位とリソースの最適な割り当てについて全てをコントロールする予定です。また、安全性とセキュリティを向上させるために行われている作業をRuby/Railsコミュニティと共有するために、Shopifyと共同で定期的に報告書を発行する予定です)

We’re grateful for the hard work and support of the incredible team that made this happen, and we’re even more excited for the years ahead for this partnership and an even safer community!

Want to learn more? https://t.co/wd9wZQvaX1

— rubycentralorg (@rubycentralorg) July 6, 2022

(これを実現した素晴らしいチームの努力とサポートに感謝するとともに、このパートナーシップとより安全なコミュニティーのためのこれから数年間を楽しみにしています。)

元記事: https://www.publickey1.jp/blog/22/rubygemsruby_sheildrubyrailsshopify410013000.html
Ruby オープンソース セキュリティ プログラミング言語 #不可欠 #予定 #発見

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
「ChatGPT」でグラフや表を作成–エディションごとの機能と作成手順
IT関連
2023-09-19 08:41
グローバル展開する企業が抱える「最大の脆弱性」への解決策
IT関連
2023-07-15 19:20
企業による仮想通貨の採用–二の足を踏む要因と考えられる利点
IT関連
2022-03-01 11:20
NTTデータとJSOL、常陽銀行で入出金データから資金需要を予測する検証
IT関連
2022-05-25 10:43
次期Apple Watch Series 7とされる画像を掲載? フラットなデザインで薄型
報道チーム
2021-08-19 05:20
「Rust」ベースのランサムウェア「BlackCat」、60以上の組織に被害–FBIが注意喚起
IT関連
2022-04-28 19:37
HPEが注力するサービスビジネスモデルの可能性と課題とは
IT関連
2022-04-22 10:33
​バーチャルライブ「VARK」運営元が6億円のシリーズB調達、「メタバース」要素取り入れた大型開発着手
VR / AR / MR
2021-05-18 20:17
2022年第2四半期のクラウドインフラ、シェア1位はAWS、2位はAzure、3位Google Cloud。上位3社の寡占がさらに高まる
AWS
2022-08-04 06:36
「macOS」に「Android」からファイルを転送するには
IT関連
2023-02-28 19:57
スポーツクラブ大手がノーコード開発ツールを導入–現場担当者が3日でアプリ開発
IT関連
2022-04-07 20:41
ウクライナ政府狙った破壊的なマルウェア攻撃、マイクロソフトが報告
IT関連
2022-01-19 00:01
社会を支えるマルチクラウド–仮想化に始まるテクノロジーの基礎知識
IT関連
2022-06-22 10:05
水を使わないQidni Labsの携帯型透析装置、埋め込み可能な人工腎臓実現への一歩
ヘルステック
2021-06-22 01:03