RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供

今回は「RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供」についてご紹介します。

関連ワード (不可欠、予定、発見等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


Ruby言語用のパッケージであるGemのホスティングサービス「RubyGems.org」を運営するRuby Centralは、RubyやRailsに対するサプライチェーン攻撃への対応を行うプロジェクト「Ruby Shield」を開始すると発表しました。

Today we’re excited to announce Ruby Shield

This new initiative in partnership with @ShopifyEng will support open-source and enable us to take on new security-focused projects to better protect our communities.

What is this & why are we doing it?

1/

— rubycentralorg (@rubycentralorg) July 6, 2022

Ruby Shieldは4年にわたり100万ドル(1ドル130円換算で1億3000万円)が投資されます。この資金はECサイト構築サービスを提供する「Shopify」の寄付によってまかなわれる予定です。

サプライチェーン攻撃への対応の必要性が高まっている

一般にオープンソースは単独で成立しているわけではなく、あるオープンソースは数多くのオープンソースによるライブラリやコンポーネントに依存しています。

そのため、何らかのオープンソースに脆弱性が発見されると、ドミノ倒しのようにそこに依存するさまざまなオープンソースにも影響します。

このようなオープンソースの依存性に着目し、悪意のある人物によってよく使われるライブラリやコンポーネントなどの脆弱性が利用され攻撃されることを一般に「サプライチェーンに対する攻撃」あるいは「サプライチェーン攻撃」などと呼ばれます。

昨年(2021年)末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えた例として、このサプライチェーン攻撃への注目度を一気に高めました。

参考:広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

この状況を受けて1月には兵ホワイトハウスが政府関係機関や主要なITベンダを呼んでソフトウェアセキュリティに関する会議を開催。2月にはLinux Foundation傘下のOpen Security Software Foundation(OpenSSF)は、オープンソースソフトウェアのサプライチェーン問題を改善し安全性を高めるための大規模なプロジェクト「Alpha-Omega Project」(アルファ-オメガプロジェクト)の開始を発表しました。

参考:オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに

今回Ruby Centralが発表したRuby Shieldは、こうしたサプライチェーン攻撃に対応するRubyやRails関連の動きの1つと言えるでしょう。

Ruby Central自身がこのRuby Shieldに取り組む意義をツイートで説明していますので、それらを引用します。

First, why?

Open-source supply chains are increasingly under attack with some reports showing a 650% YoY increase from 2021 — all while the supply & demand for open-source is exploding!

2/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(なぜこれに取り組むのか? オープンソースのサプライチェーンへの攻撃は増加しており、あるレポートによると2021年から前年比650%増とされています。その間にも、すべてのオープンソースの供給と需要は爆発的に増加しています。)

For us, Ruby Shield is an important part of maintaining (and improving) the high-trust environment necessary for open-source to work for the community.

Ruby Shield is a 4yr plan to support engineering work on RubyGems & libraries/tools crucial to the OSS supply chain.

3/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Shieldは私たちにとって、オープンソースがコミュニティのために機能する上で必要な高い信頼性を維持(そして改善)するための重要な役割を担っています。Ruby ShieldはOSSのサプライチェーンに不可欠なRubyGemsやライブラリやツールのエンジニアリング作業を4年間に渡り支援する計画です。)

We’re contracting engineers so we can confidently build out security & stability for years to come at a larger scale than ever before.

Examples of where you may see this at work:
– Operations & security engineering.
– Improving tools like bundler.
– Improved MFA support.

4/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(我々はエンジニアと契約しており、確実に今後数年に渡り、これまで以上に大規模なセキュリティと安定性を築き上げることができます。具体的には次のような成果を目にすることができるでしょう。 – 運用およびセキュリティエンジニアリング – bundlerなどのツールの改善 – MFAサポートの改善)

We’ve been funding this type of work for years, but with a $1M commitment (over the next 4 years) and collaboration with Shopify to support this we’re even more excited than ever about how we can scale this work.

5/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(私たちはこれまで何年もこの種の活動に資金提供してきましたが、100万ドルのコミットメント(今後4年間)とShopifyとのコラボレーションにより、この活動の拡大にこれまで以上に期待しています。)

Ruby Central will have full control of the priorities and how best to allocate the resources for this program. Together with Shopify, we’ll be publishing a periodic report to share the ongoing work being done to improve safety & security for the Ruby/Rails community.

6/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Centralはこのプログラムの優先順位とリソースの最適な割り当てについて全てをコントロールする予定です。また、安全性とセキュリティを向上させるために行われている作業をRuby/Railsコミュニティと共有するために、Shopifyと共同で定期的に報告書を発行する予定です)

We’re grateful for the hard work and support of the incredible team that made this happen, and we’re even more excited for the years ahead for this partnership and an even safer community!

Want to learn more? https://t.co/wd9wZQvaX1

— rubycentralorg (@rubycentralorg) July 6, 2022

(これを実現した素晴らしいチームの努力とサポートに感謝するとともに、このパートナーシップとより安全なコミュニティーのためのこれから数年間を楽しみにしています。)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
これがTechCrunch編集スタッフが愛用するキーボード
ハードウェア
2021-03-03 07:02
プライバシー重視の検索エンジン「Brave Search」、ベータ版が公開
IT関連
2021-06-23 17:23
トランプ派のためのSNS「Gettr」は早くも混乱状態
ネットサービス
2021-07-08 05:03
100kg級小型SAR(合成開口レーダー)衛星の開発・運用を行うQPS研究所がシリーズBセカンドクローズとして10.5億円調達
IT関連
2022-02-09 12:47
Yazawa Ventures、女性起業家向けインキュベーションプログラム「アントレジェネレーター」採択企業発表
IT関連
2022-01-19 00:01
【コラム】投資家とビジネスリーダーが今こそ導入すべきもの、それはコーチング
VC / エンジェル
2021-04-05 21:20
SpotifyのCEOがライブオーディオコンテンツを次の「Stories」だと有望視
ネットサービス
2021-05-02 13:46
インテル、AMD、Arm、MS、グーグルらがチップレット新規格「UCIe」のコンソーシアム立ち上げへ
IT関連
2022-03-05 09:28
Facebook、職場にメタバースを取り入れる「Horizon Workrooms」を発表
IT関連
2021-08-20 10:02
ポケモンGOの夏フェス、色違いポケモン大量追加に「アンノーン」も チケットは610円に値下げ
くらテク
2021-05-30 00:16
「現役の僧侶が望む」機能を採用、檀家・門徒の情報や寺務を管理するクラウドサービス・アプリ「OTERAplus」が公開
ネットサービス
2021-07-27 18:22
ザッカーバーグ氏、音声コマンドでバーチャルワールドを作るデモを披露
IT関連
2022-02-25 19:07
奨学金・出産・子育てに関する助成費や保険など公共制度の認知や手続きを簡素化する「Civichat」が1500万円調達
GovTech
2021-05-28 05:50
マイクロソフト、4月の月例パッチ–NSAが発見した「Exchange」の脆弱性など修正
IT関連
2021-04-14 03:04