OpenSSFによるコンテナなどへの電子署名サービス「Sigstore」が正式版に。オープンソースのサプライチェーンをさらに安全に

今回は「OpenSSFによるコンテナなどへの電子署名サービス「Sigstore」が正式版に。オープンソースのサプライチェーンをさらに安全に」についてご紹介します。

関連ワード (一環、注目、開催等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


Linux傘下の団体としてオープンソースの安全性の向上を推進する「Open Source Security Foundation」(OpenSSF)は、コンテナなどソフトウェアの成果物に対する業界標準の電子署名サービス「Sigstore」がバージョン1.0に到達したことを発表しました。

Exciting news! @projectsigstore Announces General Availability at #SigstoreCon paving the way for every open source project to improve security by default https://t.co/sOW2qfPd3d #sigstore #OSS #security pic.twitter.com/WolcU8AxPY

— OpenSSF (@theopenssf) October 25, 2022

Sigstoreはオープンソースソフトウェアに署名し、検証し、保護するための標準規格およびサービスの名称です。

2021年12月にLog4jの深刻な脆弱性が発見され、社会的に大きな影響を及ぼしたことをきっかけにオープンソースのサプライチェーンリスクに対策が注目されるようになり、翌月の2022年1月には米ホワイトハウスがソフトウェアセキュリティに関する会議を開催。

Googleやマイクロソフトなどの大手企業を中心に、ソフトウェアサプライチェーンのセキュリティに対する具体的な動きが活発化していました。

参考:オープンソースのセキュリティ強化に2年で約200億円の投資、Google、Amazon、マイクロソフト、インテル、VMwareらが資金提供へ。Linux Foundationが計画

Sigstoreは、こうしたオープンソースのサプライチェーンにおけるセキュリティ強化の一環として登場したものです。

Webで成功したHTTPSへの移行をソフトウェアでも再現できないか?

Sigstoreはソフトウェアの成果物(Artifact)に署名するためのCosign、 OpenID Connect(OIDC)IDを用いるための認証局Fulcio、署名データを改ざん不可能な台帳に記録するRekorなどから構成されます。

そしてFulcioやRecorはSigstoreコミュニティによってサービスとして運用されており、無料で利用可能です。

Sigstoreの創設者であるRed HatのLuke Hinds氏は、KubeCon + CloudNativeCon 2022 North Americaで同時開催されたSigstoreConの基調講演で、Webの世界がHTTPSを導入することで以前より安全になった例を示し、これと同じことをソフトウェアのサプライチェーンでできないだろうか? と考えたことからSigstoreの着想を得たと発言。

fig

HTTPからHTTPSへの移行は多少の痛みはあったものの比較的容易で、しかもほとんど無料であったことを振り返りつつ、Sigstoreも秘密鍵の管理など複雑な部分はインフラ側で隠蔽し、ユーザーにとって容易でかつ無料で利用できるようにしたと説明。これらによってSigstoreは急速に受け入れられているとしました。

fig

SigstoreはすでにKubernetesやPythonで採用されており、GitHub/npmではすでにSigstoreが利用可能となっています。またGitHubはこれからCI/CDサービスを提供している企業と連携し、同社がOIDC IDトークンを提供することで他社のCI/CDサービスでのSigstore利用を容易にしていくことも明らかにしています。

HTTPSが急速に普及したように、少なくとも今後オープンソースの世界でSigstoreの利用が急速に普及し、オフィシャルにビルドされたことが確実かつ容易に検証されていくようになることが期待されます。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Amazon Prime Day 2023を支えたAWS。GravitonプロセッサのAmazon EC2インスタンス投入で消費エネルギーが昨年比60%減に
AWS
2023-08-07 11:26
住友商事と東急電鉄、ローカル5GとAIを活用した「線路巡視」で共同実証
IT関連
2023-09-30 00:11
「OneNote」の文書を添付したフィッシング攻撃が増加
IT関連
2023-02-07 23:16
クラウド請求書受領、中小を無料 Sansan
IT関連
2021-05-29 15:57
フェイスブックが2019年の個人情報流出で集団訴訟に直面する可能性
ネットサービス
2021-04-18 08:48
Uberがアルコール宅配サービスのDrizlyを約1150億円で買収へ、Uber Eatsの収益性アップを狙う
シェアリングエコノミー
2021-02-04 13:15
グラファー、スマホ活用で行政デジタル化を促進–利用自治体は100超に
IT関連
2022-02-25 00:18
カプコン、不正アクセス被害の調査結果を公表 旧型VPN装置にサイバー攻撃
セキュリティ
2021-04-15 00:01
3度目の緊急事態宣言は必至?–急落する日経平均、株はいつ売るべき?
IT関連
2021-04-21 13:06
世界的にサブスクリプションモデルに購買の方向性がシフト–ピュア・ストレージ
IT関連
2021-03-18 10:10
Apple Musicの日本語ラジオ番組「Tokyo Highway Radio」、Appleが商標申請
IT関連
2021-07-17 15:09
インパーバ、小売業界のセキュリティトレンドを解説–“転売ボット”に注意
IT関連
2022-11-20 23:15
AIガジェット「rabbit r1」を使ってみた–よかった点と残念だった点
IT関連
2024-05-12 01:08
グーグル、古いPCを無料でよみがえらせる「Chrome OS Flex」を発表
IT関連
2022-02-17 07:22