OpenSSFによるコンテナなどへの電子署名サービス「Sigstore」が正式版に。オープンソースのサプライチェーンをさらに安全に

今回は「OpenSSFによるコンテナなどへの電子署名サービス「Sigstore」が正式版に。オープンソースのサプライチェーンをさらに安全に」についてご紹介します。

関連ワード (一環、注目、開催等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


Linux傘下の団体としてオープンソースの安全性の向上を推進する「Open Source Security Foundation」(OpenSSF)は、コンテナなどソフトウェアの成果物に対する業界標準の電子署名サービス「Sigstore」がバージョン1.0に到達したことを発表しました。

Exciting news! @projectsigstore Announces General Availability at #SigstoreCon paving the way for every open source project to improve security by default https://t.co/sOW2qfPd3d #sigstore #OSS #security pic.twitter.com/WolcU8AxPY

— OpenSSF (@theopenssf) October 25, 2022

Sigstoreはオープンソースソフトウェアに署名し、検証し、保護するための標準規格およびサービスの名称です。

2021年12月にLog4jの深刻な脆弱性が発見され、社会的に大きな影響を及ぼしたことをきっかけにオープンソースのサプライチェーンリスクに対策が注目されるようになり、翌月の2022年1月には米ホワイトハウスがソフトウェアセキュリティに関する会議を開催。

Googleやマイクロソフトなどの大手企業を中心に、ソフトウェアサプライチェーンのセキュリティに対する具体的な動きが活発化していました。

参考:オープンソースのセキュリティ強化に2年で約200億円の投資、Google、Amazon、マイクロソフト、インテル、VMwareらが資金提供へ。Linux Foundationが計画

Sigstoreは、こうしたオープンソースのサプライチェーンにおけるセキュリティ強化の一環として登場したものです。

Webで成功したHTTPSへの移行をソフトウェアでも再現できないか?

Sigstoreはソフトウェアの成果物(Artifact)に署名するためのCosign、 OpenID Connect(OIDC)IDを用いるための認証局Fulcio、署名データを改ざん不可能な台帳に記録するRekorなどから構成されます。

そしてFulcioやRecorはSigstoreコミュニティによってサービスとして運用されており、無料で利用可能です。

Sigstoreの創設者であるRed HatのLuke Hinds氏は、KubeCon + CloudNativeCon 2022 North Americaで同時開催されたSigstoreConの基調講演で、Webの世界がHTTPSを導入することで以前より安全になった例を示し、これと同じことをソフトウェアのサプライチェーンでできないだろうか? と考えたことからSigstoreの着想を得たと発言。

fig

HTTPからHTTPSへの移行は多少の痛みはあったものの比較的容易で、しかもほとんど無料であったことを振り返りつつ、Sigstoreも秘密鍵の管理など複雑な部分はインフラ側で隠蔽し、ユーザーにとって容易でかつ無料で利用できるようにしたと説明。これらによってSigstoreは急速に受け入れられているとしました。

fig

SigstoreはすでにKubernetesやPythonで採用されており、GitHub/npmではすでにSigstoreが利用可能となっています。またGitHubはこれからCI/CDサービスを提供している企業と連携し、同社がOIDC IDトークンを提供することで他社のCI/CDサービスでのSigstore利用を容易にしていくことも明らかにしています。

HTTPSが急速に普及したように、少なくとも今後オープンソースの世界でSigstoreの利用が急速に普及し、オフィシャルにビルドされたことが確実かつ容易に検証されていくようになることが期待されます。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
第3世代AirPodsは2021年秋まで登場しない? 著名アナリストが予測を修正
IT関連
2021-03-17 17:59
シスコ、「セキュリティクラウド戦略」を発表–企業のセキュリティ対策を包括支援
IT関連
2022-07-07 05:38
電動歯ブラシや3Dプリント製マウスピースを安価で提供するシンガポールの審美歯科D2C「Zenyum」
ヘルステック
2021-06-02 03:50
パナソニック、コンセント火災防ぐ「感熱・トラッキングお知らせコンセント」発売 
くらテク
2021-04-29 13:14
シン・エヴァ“最後の入場者プレゼント”発表 マリorカヲルの描き下ろしポスター
くらテク
2021-06-22 01:21
アルゴリズムを利用して賃貸住宅の特定や管理を支援し大家の頭痛を解消するKnox Financialが10.8億円調達
ネットサービス
2021-04-21 17:08
世界の5Gネットワークインフラ、2021年に売上高が39%増–Gartner
IT関連
2021-08-13 18:32
急速に変化する購買行動–カスタマージャーニー分析で「デジタルマーケティングの最適解」を発見する
IT関連
2021-03-08 16:27
急成長する民間企業の取締役会で今、起きている5つのトレンド
その他
2021-03-23 21:55
自動車販売のデジタル化に対する日米独中の心理–NRIが調査
IT関連
2022-11-25 05:07
ドコモ、宿泊予約「dトラベル」も終了へ
企業・業界動向
2021-06-15 19:18
EdTechユニコーンDuolingoが株式公開を申請
EdTech
2021-06-30 08:19
Yahoo!ニュースの記事をユーザーが評価する新機能 PV以外の新たな評価軸に、配信料への反映も
ネットトピック
2021-06-18 13:13
在宅組にも公平な職場が必要–ハイブリッドワークの10の危険信号
IT関連
2021-08-07 22:08