Open Source Security Foundation (OpenSSF)は先日、ソフトウェア部品表(Software Bills of Materials:SBOM)をイントート認証で強化するために設計されたツール、SBOMitを発表した。OpenSSFセキュリティ・ツーリング・ワーキンググループの下で発表されたこの開発は、ソフトウェア開発プロセスの透明性とセキュリティ向上を目的としている。
ソフトウェア部品表(SBOM)は、ソフトウェアパッケージ内のコンポーネントのインベントリとして機能する。SBOMを保存するにはさまざまな方法があり、署名による追加検証のオプションがある。しかしソフトウェアを生成するために使用されたすべてのプロセスがSBOMを作成するために適切に実行されたという保証がないため、ソフトウェア開発プロセス全体の完全性を確保することは依然として困難である。SBOMitは、検証情報を追加したコンポーネントを証明するため、標準化されたSBOM形式に依存しない方法の提供を目的としている。
イントート(In-toto)は「Integrity and Transparency」の略で、ソフトウェアサプライチェーンの整合性を確立するための検証可能で再現可能なメカニズムを提供するために設計されたフレームワークである。イントート認証は、この枠組みの重要な構成要素である。基本的に、ソフトウェアサプライチェーンの完全性を確保するために講じられた措置の証拠を提供する記録または証明である。これらは、ソフトウェア開発および配備プロセスの各ステップが改ざんされることなく安全に実施されたことを検証する方法として機能する。
SBOMitは、ソフトウェアビルドにイントート認証を組み込むことで機能する。その結果のSBOMitドキュメントは元のSBOMドキュメントを参照しており、ソフトウェア開発の各段階に関する暗号署名されたメタデータと、必要な手順を概説するポリシーを含む。
イントート認証を含めることで、偶発的なエラーのリスクを軽減し、人間が開発プロセスの重要なステップを見落とすといった問題に対処できる。さらに、悪意のある攻撃が見逃さないことで、セキュリティを強化する。SBOMitは、より安全な環境に貢献するだけでなく、組織が侵害から安全に回復し、悪意のある攻撃を迅速に特定して防止することを可能にする。
SBOMitプロジェクトは、OpenSSF Security Tooling Working Groupの下でホストされており、オープンソースのセキュリティツールとベストプラクティスを推進する業界内の共同作業である。SBOMにイントート認証を統合することで、開発者はソフトウェアコンポーネントの完全性と真正性の保証を高めることができる。SBOMit仕様はGitHubで公開されており、貢献を歓迎する。
SBOMitのロードマップは、開発のための3つの主要な推進力を概説している。
ツールとコミュニティの強化:
- 中立性、サポート、包括性を重視する。
- マイルストーンには、多様なコミュニティの構築、利害関係者の参加、フェーズの進展、持続可能性の達成などが含まれる。
- 評価は、多様なリーダーシップとツールプロバイダの重要な関与にフォーカスする。
エンドユーザーの採用を拡大する:
- 規制機関と協力し、セクターを超えた幅広い採用を目指す。
- マイルストーンには、パートナーシップ、アーリーアダプターの協力、統合の推進、コミュニティ主導の機能強化による持続可能性が含まれる。
- 評価では、分野横断的な採用の広がりと有力な採用企業の確保によって成功を測る。
利害関係者の調整:
- 明確な仕様によってSBOMitの矛盾に対処することを目指す。
- マイルストーンには、仕様のドラフト作成、コラボレーションによる改良、国際標準への到達、自立モデルへの移行が含まれる。
- 評価は、仕様更新の監視、提案プロセスの効率化、適合性の低い問題の維持に重点を置く。
包括的な目標は、SBOMitを広く採用され、自立したコミュニティを持つ仕様の整った標準として確立し、ソフトウェアのサプライチェーンにおける互換性とセキュリティを確保することである。