サプライチェーンのセキュリティ対策に関する最近の調査では、一部の対策は広く採用されているものの、主要な対策では採用が遅れていることが判明した。この調査は、Supply-chain Levels for Software Artifacts (SLSA) フレームワークに基づいて行われた。証明書の作成などの主要な対策は、採用が遅れていることが指摘されている。またこの調査では対策の有用性の認知度と採用には高い相関関係があることがわかった。
SLSAはオープンソースのセキュリティフレームワークでサプライチェーンのセキュリティに関連する基準や管理方法を提供しており、ソフトウェアサプライチェーンに関連するセキュリティ攻撃を防止、軽減するための多くの対策を提案している。これらの対策は完全にスクリプト化されたビルドから、密閉された再現可能なビルドまで、4つのレベルに分類されており、本調査では、これらの対策の導入、難易度、および有用性の認識について質問をしている。
特定のソフトウェアサプライチェーンセキュリティ対策の普及率(OpenSSF)
その結果、対策のいくつかは広く採用されていることがわかった。例えば50%以上の回答者が集中型ビルドサービスを常に使用していると回答している。エフェメラルビルドと分離ビルドは、もっとも利用されている対策の上位3つを占めていた。
しかしSLSAで最重要な対策とされている「プロベナンス」の提供は採用が遅れている。プロベナンスとは、所有権、ソース、依存関係、使用したビルドプロセスなどの情報を含む、成果物の構築方法に関するメタデータのことである。
報告書によると、回答者が考える対策の有効性と、採用の可能性には正の相関があることがわかった。この報告書では多くの採用を促進するために対策が有益である理由の説明に注力することを推奨している。Amélie Koran氏、Wendy Nather氏、Stewart Scott氏、Sara Ann Brackett氏が最近発表した論文でも、ソフトウェア部品表(SBOM)に関連するこの発見が確認されている。彼らはSBOMのユースケースが明確に定義されていない場合、その実践の価値が過小評価され、採用が進まないリスクがあると指摘しているのだ。
回答者の中には、プロベナンスを生成することの有用性を疑問視する人もおり、この手法の利点についてさらに説明する必要を示している。
これは、大量の書類を作成し、事後的に "ああ、これが攻撃だ"と簡単に振り返り可能な方法のように思えます...一方で、そもそも侵害が起こるのを防ぐことはほとんどできません。
他の回答者も、SBOMの作成の有用性について、同様のことを述べている。
開発者(多くのランダムな依存関係を記述し、場合によっては弁護しなければならないため)、管理者(遅延や開発者の不幸を招くため)、さらには法務(偶然の侵害を故意に変えるリスクがあるため)、すべての人が面倒で嫌がる種類のタスクです。それでも依存関係に気を配ることはサプライチェーン攻撃のリスクを減らす唯一の良い方法のように思われます。
密閉型ビルドなど一部のSLSA対策は他の対策よりも採用が困難であると報告された。本報告書では、対策の難易度に関する認識と、組織による採用実現との間に、相関関係はないことが判明したのである。
この調査結果は採用に関するもので最近のGoogle 2022 Accelerate State of DevOps Reportと密接に関連しているのだ。このレポートではサプライチェーンのセキュリティに焦点を当てSLSAフレームワークとNISTのSecure Software Development Framework (SSDF)の両方を使用している。同様に回答者の過半数がすべての対策を少なくとも部分的に採用していると報告していることが判明した。
最近の SLSA++ 調査の詳細は、OpenSSFのブログで閲覧可能だ。また、SLSAのドラフトバージョン1.0は、現在、コミュニティからのレビューとコメントを受け付けている。