RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供

今回は「RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供」についてご紹介します。

関連ワード (不可欠、予定、発見等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Ruby言語用のパッケージであるGemのホスティングサービス「RubyGems.org」を運営するRuby Centralは、RubyやRailsに対するサプライチェーン攻撃への対応を行うプロジェクト「Ruby Shield」を開始すると発表しました。

Today we’re excited to announce Ruby Shield

This new initiative in partnership with @ShopifyEng will support open-source and enable us to take on new security-focused projects to better protect our communities.

What is this & why are we doing it?

1/

— rubycentralorg (@rubycentralorg) July 6, 2022

Ruby Shieldは4年にわたり100万ドル(1ドル130円換算で1億3000万円)が投資されます。この資金はECサイト構築サービスを提供する「Shopify」の寄付によってまかなわれる予定です。

サプライチェーン攻撃への対応の必要性が高まっている

一般にオープンソースは単独で成立しているわけではなく、あるオープンソースは数多くのオープンソースによるライブラリやコンポーネントに依存しています。

そのため、何らかのオープンソースに脆弱性が発見されると、ドミノ倒しのようにそこに依存するさまざまなオープンソースにも影響します。

このようなオープンソースの依存性に着目し、悪意のある人物によってよく使われるライブラリやコンポーネントなどの脆弱性が利用され攻撃されることを一般に「サプライチェーンに対する攻撃」あるいは「サプライチェーン攻撃」などと呼ばれます。

昨年(2021年)末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えた例として、このサプライチェーン攻撃への注目度を一気に高めました。

参考:広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

この状況を受けて1月には兵ホワイトハウスが政府関係機関や主要なITベンダを呼んでソフトウェアセキュリティに関する会議を開催。2月にはLinux Foundation傘下のOpen Security Software Foundation(OpenSSF)は、オープンソースソフトウェアのサプライチェーン問題を改善し安全性を高めるための大規模なプロジェクト「Alpha-Omega Project」(アルファ-オメガプロジェクト)の開始を発表しました。

参考:オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに

今回Ruby Centralが発表したRuby Shieldは、こうしたサプライチェーン攻撃に対応するRubyやRails関連の動きの1つと言えるでしょう。

Ruby Central自身がこのRuby Shieldに取り組む意義をツイートで説明していますので、それらを引用します。

First, why?

Open-source supply chains are increasingly under attack with some reports showing a 650% YoY increase from 2021 — all while the supply & demand for open-source is exploding!

2/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(なぜこれに取り組むのか? オープンソースのサプライチェーンへの攻撃は増加しており、あるレポートによると2021年から前年比650%増とされています。その間にも、すべてのオープンソースの供給と需要は爆発的に増加しています。)

For us, Ruby Shield is an important part of maintaining (and improving) the high-trust environment necessary for open-source to work for the community.

Ruby Shield is a 4yr plan to support engineering work on RubyGems & libraries/tools crucial to the OSS supply chain.

3/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Shieldは私たちにとって、オープンソースがコミュニティのために機能する上で必要な高い信頼性を維持(そして改善)するための重要な役割を担っています。Ruby ShieldはOSSのサプライチェーンに不可欠なRubyGemsやライブラリやツールのエンジニアリング作業を4年間に渡り支援する計画です。)

We’re contracting engineers so we can confidently build out security & stability for years to come at a larger scale than ever before.

Examples of where you may see this at work:
– Operations & security engineering.
– Improving tools like bundler.
– Improved MFA support.

4/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(我々はエンジニアと契約しており、確実に今後数年に渡り、これまで以上に大規模なセキュリティと安定性を築き上げることができます。具体的には次のような成果を目にすることができるでしょう。 – 運用およびセキュリティエンジニアリング – bundlerなどのツールの改善 – MFAサポートの改善)

We’ve been funding this type of work for years, but with a $1M commitment (over the next 4 years) and collaboration with Shopify to support this we’re even more excited than ever about how we can scale this work.

5/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(私たちはこれまで何年もこの種の活動に資金提供してきましたが、100万ドルのコミットメント(今後4年間)とShopifyとのコラボレーションにより、この活動の拡大にこれまで以上に期待しています。)

Ruby Central will have full control of the priorities and how best to allocate the resources for this program. Together with Shopify, we’ll be publishing a periodic report to share the ongoing work being done to improve safety & security for the Ruby/Rails community.

6/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Centralはこのプログラムの優先順位とリソースの最適な割り当てについて全てをコントロールする予定です。また、安全性とセキュリティを向上させるために行われている作業をRuby/Railsコミュニティと共有するために、Shopifyと共同で定期的に報告書を発行する予定です)

We’re grateful for the hard work and support of the incredible team that made this happen, and we’re even more excited for the years ahead for this partnership and an even safer community!

Want to learn more? https://t.co/wd9wZQvaX1

— rubycentralorg (@rubycentralorg) July 6, 2022

(これを実現した素晴らしいチームの努力とサポートに感謝するとともに、このパートナーシップとより安全なコミュニティーのためのこれから数年間を楽しみにしています。)

元記事: https://www.publickey1.jp/blog/22/rubygemsruby_sheildrubyrailsshopify410013000.html
Ruby オープンソース セキュリティ プログラミング言語 #不可欠 #予定 #発見

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
Cloudflareでメッセージキューを提供する「Cloudflare Queues」ベータ公開。Workersのコンピュート、R2のストレージ、Queuesのキューで分散コンピューティング基盤が充実
Cloudflare
2022-11-17 11:31
ガイアックスが日本初の「スマートシティ実現に向けたLiDARデータ活用アイデアソン&ハッカソン」を9月30日開催
イベント情報
2021-08-06 09:26
【3月9日】掲載記事アクセスランキング・トップ5―1位はアップル新製品予想、2位はアノニマスのロシア国営TVサイバー攻撃
IT関連
2022-03-10 08:43
JR東日本商事、クラウド型のIT運用管理サービスを導入–効率的なIT資産管理を推進
IT関連
2023-03-16 00:18
PythonやR対応の統合開発環境「JupyterLab 4.0」正式リリース。 より効率的なレンダリング、リアルタイムコラボレーション機能が分離など
Python
2023-06-15 04:27
ネット通販隆盛 物流施設建設ラッシュで変わる田園都市
IT関連
2021-01-23 14:33
話者映像とPC画面を組み合わせ「非同期コミュニケーション」を支援するQudenのzipunkが5000万円調達、正式版も公開
IT関連
2022-02-09 20:34
マイクロソフト、Windows Serverの仮想コア対応などライセンス規約の更新を発表。クラウドや仮想環境などとのシームレスな運用が容易に
Microsoft
2022-09-02 01:25
アマゾンが車やアプリ、ゲーム向けAlexaアシスタントを企業が独自開発するためのプロダクトを新たに提供
人工知能・AI
2021-01-17 18:12
アップルの「Vision Pro」を普段の仕事で使ってみたら
IT関連
2024-02-20 07:29
ソニー「α1」は“新世代の最高峰”を見せてくれた :荻窪圭のデジカメレビュープラス
くらテク
2021-01-29 07:52
ランサムウェアへの身代金支払いの是非と具体策
IT関連
2021-06-04 07:39
「Mac」を狙うランサムウェアが進化、研究者が注意喚起
IT関連
2023-01-11 15:37
中学女子アスリートの水着画像を無断転載 サイト運営の男逮捕
IT関連
2021-06-24 12:28