RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供

今回は「RubyGemsの運営元が「Ruby Shield」を発表。RubyとRailsへのサプライチェーン攻撃への対策としてShopifyが4年で100万ドル(約1億3000万円)を提供」についてご紹介します。

関連ワード (不可欠、予定、発見等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

Ruby言語用のパッケージであるGemのホスティングサービス「RubyGems.org」を運営するRuby Centralは、RubyやRailsに対するサプライチェーン攻撃への対応を行うプロジェクト「Ruby Shield」を開始すると発表しました。

Today we’re excited to announce Ruby Shield

This new initiative in partnership with @ShopifyEng will support open-source and enable us to take on new security-focused projects to better protect our communities.

What is this & why are we doing it?

1/

— rubycentralorg (@rubycentralorg) July 6, 2022

Ruby Shieldは4年にわたり100万ドル(1ドル130円換算で1億3000万円)が投資されます。この資金はECサイト構築サービスを提供する「Shopify」の寄付によってまかなわれる予定です。

サプライチェーン攻撃への対応の必要性が高まっている

一般にオープンソースは単独で成立しているわけではなく、あるオープンソースは数多くのオープンソースによるライブラリやコンポーネントに依存しています。

そのため、何らかのオープンソースに脆弱性が発見されると、ドミノ倒しのようにそこに依存するさまざまなオープンソースにも影響します。

このようなオープンソースの依存性に着目し、悪意のある人物によってよく使われるライブラリやコンポーネントなどの脆弱性が利用され攻撃されることを一般に「サプライチェーンに対する攻撃」あるいは「サプライチェーン攻撃」などと呼ばれます。

昨年(2021年)末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えた例として、このサプライチェーン攻撃への注目度を一気に高めました。

参考:広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

この状況を受けて1月には兵ホワイトハウスが政府関係機関や主要なITベンダを呼んでソフトウェアセキュリティに関する会議を開催。2月にはLinux Foundation傘下のOpen Security Software Foundation(OpenSSF)は、オープンソースソフトウェアのサプライチェーン問題を改善し安全性を高めるための大規模なプロジェクト「Alpha-Omega Project」(アルファ-オメガプロジェクト)の開始を発表しました。

参考:オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに

今回Ruby Centralが発表したRuby Shieldは、こうしたサプライチェーン攻撃に対応するRubyやRails関連の動きの1つと言えるでしょう。

Ruby Central自身がこのRuby Shieldに取り組む意義をツイートで説明していますので、それらを引用します。

First, why?

Open-source supply chains are increasingly under attack with some reports showing a 650% YoY increase from 2021 — all while the supply & demand for open-source is exploding!

2/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(なぜこれに取り組むのか? オープンソースのサプライチェーンへの攻撃は増加しており、あるレポートによると2021年から前年比650%増とされています。その間にも、すべてのオープンソースの供給と需要は爆発的に増加しています。)

For us, Ruby Shield is an important part of maintaining (and improving) the high-trust environment necessary for open-source to work for the community.

Ruby Shield is a 4yr plan to support engineering work on RubyGems & libraries/tools crucial to the OSS supply chain.

3/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Shieldは私たちにとって、オープンソースがコミュニティのために機能する上で必要な高い信頼性を維持(そして改善)するための重要な役割を担っています。Ruby ShieldはOSSのサプライチェーンに不可欠なRubyGemsやライブラリやツールのエンジニアリング作業を4年間に渡り支援する計画です。)

We’re contracting engineers so we can confidently build out security & stability for years to come at a larger scale than ever before.

Examples of where you may see this at work:
– Operations & security engineering.
– Improving tools like bundler.
– Improved MFA support.

4/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(我々はエンジニアと契約しており、確実に今後数年に渡り、これまで以上に大規模なセキュリティと安定性を築き上げることができます。具体的には次のような成果を目にすることができるでしょう。 – 運用およびセキュリティエンジニアリング – bundlerなどのツールの改善 – MFAサポートの改善)

We’ve been funding this type of work for years, but with a $1M commitment (over the next 4 years) and collaboration with Shopify to support this we’re even more excited than ever about how we can scale this work.

5/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(私たちはこれまで何年もこの種の活動に資金提供してきましたが、100万ドルのコミットメント(今後4年間)とShopifyとのコラボレーションにより、この活動の拡大にこれまで以上に期待しています。)

Ruby Central will have full control of the priorities and how best to allocate the resources for this program. Together with Shopify, we’ll be publishing a periodic report to share the ongoing work being done to improve safety & security for the Ruby/Rails community.

6/7

— rubycentralorg (@rubycentralorg) July 6, 2022

(Ruby Centralはこのプログラムの優先順位とリソースの最適な割り当てについて全てをコントロールする予定です。また、安全性とセキュリティを向上させるために行われている作業をRuby/Railsコミュニティと共有するために、Shopifyと共同で定期的に報告書を発行する予定です)

We’re grateful for the hard work and support of the incredible team that made this happen, and we’re even more excited for the years ahead for this partnership and an even safer community!

Want to learn more? https://t.co/wd9wZQvaX1

— rubycentralorg (@rubycentralorg) July 6, 2022

(これを実現した素晴らしいチームの努力とサポートに感謝するとともに、このパートナーシップとより安全なコミュニティーのためのこれから数年間を楽しみにしています。)

元記事: https://www.publickey1.jp/blog/22/rubygemsruby_sheildrubyrailsshopify410013000.html
Ruby オープンソース セキュリティ プログラミング言語 #不可欠 #予定 #発見

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
劇場版「機動戦士ガンダム00」、8日からYouTubeで無料配信 ガンダムチャンネル登録105万人突破で
くらテク
2021-05-09 12:44
経費精算を効率化する法人クレジットカードプラットフォームのMossが約26億円調達
フィンテック
2021-01-20 08:47
WebAssemblyに特化した言語「MoonBit」のコンパイラがGitHubで公開
WebAssembly
2024-12-24 09:31
HashiCorp、「HashiCorp Vault 1.17」を一般提供–WIFやPKIでのESTをサポート
IT関連
2024-06-15 02:28
国際分散投資のすすめ–国内投資だけで大丈夫?
IT関連
2021-06-18 09:04
熊谷組、クラウド型ネットワーク対策を導入–通信品質の改善も
IT関連
2024-02-29 04:57
米政府、NVIDIAによる中国へのAIチップ販売を制限
IT関連
2022-09-02 15:47
各分野のコラボレーション進む–Appier、AIトレンドの2020年総括と2021年予測
IT関連
2021-01-21 18:53
NTT Com、国内向けデータセキュリティソリューションにCohesity製品を採用
IT関連
2023-02-18 09:31
富士通、「モダナイゼーションナレッジセンター」を新設–DX基盤整備を支援
IT関連
2022-09-06 20:23
Switch版「ポケモンユナイト」テストプレイ始まる ポケモンを使った注目のMOBAタイトル
くらテク
2021-06-25 05:15
ISID、行政手続き申請管理システムを提供–オン/オフライン両方に対応
IT関連
2022-06-29 01:15
AI導入で開発者が抱く懸念–GitLab日本担当カントリーマネージャーに聞く日本市場
IT関連
2024-03-08 09:35
グーグル、生成型AIを「Gmail」「Googleドキュメント」などで利用可能に
IT関連
2023-05-13 11:35