Googleがオープンソースのセキュリティ問題に対し、「知る、予防する、修正する」アプローチを提案
Google(米Alphabet傘下)は2月3日、Open Source公式ブログでオープンソースの脆弱性問題に対し、「知る、予防する、修正する(Know, Prevent, Fix)」フレームワークを提唱した。
年末に明らかになり、未だ規模が見えない米SolarWindsの「Orion」脆弱性問題など、オープンソースソフトウェアにおける脆弱性の問題は新しくはない。Googleのオープンソースチームは、「問題は複雑で、サプライチェーン、依存性管理、識別、パイプラインの構築など様々な要素をみなければならない」とする。しかし、フレームがきちんとしていればすぐに解決できる、という。
そこで提唱するのが、「知る、予防する、修正する(Know, Prevent, Fix)」だ。「知る(Know)」とは、ソフトウェアにある脆弱性について知ること、「予防する(Prevent)」とは新しい脆弱性が積み重なるのを防ぐこと、「修正する(Fix)」は脆弱性を除去すること。フレームワークの実現には、メタデータと識別の標準で合意すること、そして重要なソフトウェアの透明性とレビューを改善すること、の2つが重要だと続けている。
例えば、「知る」ではどのバージョンで脆弱性が入ったのかを知ることで、自社のソフトウェアへの影響を正確に把握できる。また、脆弱性の多くはコードよりも依存性にあるため、コードを変更しなくても脆弱性が修正されたり追加される。そこで、正確な脆弱性メタデータを得られる必要があるとする。このフレームワークに関連して、サプライチェーンを安全にするためには開発プロセスでのセキュリティが必要という。
Googleのオープンソースチームは 、脆弱性管理、重要なオープンソースについて目標を打ち出しており、このアプローチについての議論を深めたいとしている。
Google Open Sourceのブログ
https://opensource.googleblog.com/2021/02/know-prevent-fix-framework-for-shifting-discussion-around-vulnerabilities-in-open-source.html