RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供

今回は「RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供」についてご紹介します。

関連ワード (不可欠、予定、発見等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


Ruby言語用のパッケージであるGemのホスティングサービス「RubyGems.org」を運営するRuby Centralは、RubyやRailsに対するサプライチェーン攻撃への対応を行うプロジェクト「Ruby Shield」を開始すると発表しました。

Today we’re excited to announce Ruby Shield

This new initiative in partnership with @ShopifyEng will support open-source and enable us to take on new security-focused projects to better protect our communities.

What is this & why are we doing it?

1/

— rubycentralorg (@rubycentralorg) July 6, 2022

Ruby Shieldは4年にわたり100万ドル(1ドル130円換算で1億3000万円)が投資されます。この資金はECサイト構築サービスを提供する「Shopify」の寄付によってまかなわれる予定です。

サプライチェーン攻撃への対応の必要性が高まっている

一般にオープンソースは単独で成立しているわけではなく、あるオープンソースは数多くのオープンソースによるライブラリやコンポーネントに依存しています。

そのため、何らかのオープンソースに脆弱性が発見されると、ドミノ倒しのようにそこに依存するさまざまなオープンソースにも影響します。

このようなオープンソースの依存性に着目し、悪意のある人物によってよく使われるライブラリやコンポーネントなどの脆弱性が利用され攻撃されることを一般に「サプライチェーンに対する攻撃」あるいは「サプライチェーン攻撃」などと呼ばれます。

昨年(2021年)末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えた例として、このサプライチェーン攻撃への注目度を一気に高めました。

参考:広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

この状況を受けて1月には兵ホワイトハウスが政府関係機関や主要なITベンダを呼んでソフトウェアセキュリティに関する会議を開催。2月にはLinux Foundation傘下のOpen Security Software Foundation(OpenSSF)は、オープンソースソフトウェアのサプライチェーン問題を改善し安全性を高めるための大規模なプロジェクト「Alpha-Omega Project」(アルファ-オメガプロジェクト)の開始を発表しました。

参考:オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに

今回Ruby Centralが発表したRuby Shieldは、こうしたサプライチェーン攻撃に対応するRubyやRails関連の動きの1つと言えるでしょう。

Ruby Central自身がこのRuby Shieldに取り組む意義をツイートで説明していますので、それらを引用します。

First, why?

Open-source supply chains are increasingly under attack with some reports showing a 650% YoY increase from 2021 — all while the supply & demand for open-source is exploding!

2/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(なぜこれに取り組むのか? オープンソースのサプライチェーンへの攻撃は増加しており、あるレポートによると2021年から前年比650%増とされています。その間にも、すべてのオープンソースの供給と需要は爆発的に増加しています。)

For us, Ruby Shield is an important part of maintaining (and improving) the high-trust environment necessary for open-source to work for the community.

Ruby Shield is a 4yr plan to support engineering work on RubyGems & libraries/tools crucial to the OSS supply chain.

3/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Shieldは私たちにとって、オープンソースがコミュニティのために機能する上で必要な高い信頼性を維持(そして改善)するための重要な役割を担っています。Ruby ShieldはOSSのサプライチェーンに不可欠なRubyGemsやライブラリやツールのエンジニアリング作業を4年間に渡り支援する計画です。)

We’re contracting engineers so we can confidently build out security & stability for years to come at a larger scale than ever before.

Examples of where you may see this at work:
– Operations & security engineering.
– Improving tools like bundler.
– Improved MFA support.

4/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(我々はエンジニアと契約しており、確実に今後数年に渡り、これまで以上に大規模なセキュリティと安定性を築き上げることができます。具体的には次のような成果を目にすることができるでしょう。 – 運用およびセキュリティエンジニアリング – bundlerなどのツールの改善 – MFAサポートの改善)

We’ve been funding this type of work for years, but with a $1M commitment (over the next 4 years) and collaboration with Shopify to support this we’re even more excited than ever about how we can scale this work.

5/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(私たちはこれまで何年もこの種の活動に資金提供してきましたが、100万ドルのコミットメント(今後4年間)とShopifyとのコラボレーションにより、この活動の拡大にこれまで以上に期待しています。)

Ruby Central will have full control of the priorities and how best to allocate the resources for this program. Together with Shopify, we’ll be publishing a periodic report to share the ongoing work being done to improve safety & security for the Ruby/Rails community.

6/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Centralはこのプログラムの優先順位とリソースの最適な割り当てについて全てをコントロールする予定です。また、安全性とセキュリティを向上させるために行われている作業をRuby/Railsコミュニティと共有するために、Shopifyと共同で定期的に報告書を発行する予定です)

We’re grateful for the hard work and support of the incredible team that made this happen, and we’re even more excited for the years ahead for this partnership and an even safer community!

Want to learn more? https://t.co/wd9wZQvaX1

— rubycentralorg (@rubycentralorg) July 6, 2022

(これを実現した素晴らしいチームの努力とサポートに感謝するとともに、このパートナーシップとより安全なコミュニティーのためのこれから数年間を楽しみにしています。)

COMMENTS


Recommended

TITLE
CATEGORY
DATE
アップルがApp Storeの検索タブに新たな広告枠を導入
ソフトウェア
2021-05-07 04:16
THK、数百万件の製品情報を一元管理–散在するシステムをノーコード開発基盤に統合
IT関連
2022-05-03 22:40
テレワーカーの方が出社している人より残業時間が長い パーソル調査
キャリア・しごと
2021-04-20 08:14
米司法省、闇サイト「Silk Road」から盗まれた4900億円相当のビットコインを押収
IT関連
2022-11-09 02:19
キンドリル、注目すべき3つの先端テクノロジーと規制を提言
IT関連
2024-09-18 19:43
マイクロソフト、無料でRPAをWindows 10ユーザーに提供開始/Excelの数式をプログラミング言語にした「Power fx」登場/「Flutter 2」公開、ほか2021年3月の人気記事
編集後記
2021-04-05 01:00
Webアプリケーションフレームワーク「SvelteKit 1.0」正式リリース。SSR/SSG/SPAなど対応
HTML/CSS
2022-12-20 17:52
課税事業者への変更は6割、未対応企業はインボイス制度を「理解していない」
IT関連
2022-10-25 00:46
SCSK、自社事業へのAI適用に向けて専門組織を設立
IT関連
2023-09-30 19:41
過去最高に使いやすくなった軽量Linuxデスクトップ「Bodhi Linux 7.0」
IT関連
2023-09-14 09:44
IDホールディングス、世界19拠点でのPC管理に「AssetView」を導入
IT関連
2022-08-24 03:20
New Relic、「New Relic AI Monitoring」提供–AIアプリケーション向けAPM
IT関連
2023-12-08 07:15
「もう中学生」が「もう就活生」に 就活マナーを学べる恋愛ゲーム、毎日放送が公開
キャリア・しごと
2021-07-02 14:49
“高速なPython”に向けさらなる一歩–「Pyston 2.2」リリース
IT関連
2021-05-10 00:15