米Synopsysは12月8日(米国時間)、オープンソースのセキュリティ管理やDevOpsプラクティスに関する年次報告書「DevSecOps Practices and Open Source Management in 2020」を発表した。
セキュリティ
GitLabがセキュリティレポートを発表、脆弱性を含む依存性を使用する比率が増加
オランダGitLabは10月6日、セキュリティトレンドの報告書を発表した。GitLab.comがホスティングしているプロジェクトのコードをスキャンし、セキュリティ脆弱性の傾向を調べたもので、LodashやjQueryに脆弱性が含まれたまま使われている現実が浮き彫りになった。
GitHub、コードスキャン機能をGAに
GitHub(米Microsoft傘下)は9月30日、コードスキャン(Code Scanning)機能を一般公開(GA)したことを発表した。買収により取得したCodeQL技術に基づくもので、リポジトリで有効にすることでコードの脆弱性スキャンができる。
FIDOサポートを強化した「OpenSSH 8.4」が公開
SSHプロトコルのオープンな実装であるOpenSSH開発プロジェクトは9月27日、最新版となる「OpenSSH 8.4」公開を発表した。FIDO鍵のサポート強化などが加わっている。
セキュリティ問題を修正した「GnuPG 2.2.23」が公開
GNU Privacy Guard(GnuPG)プロジェクトは9月3日、OpenPGPとS/MIMEのフリー実装の最新版「GnuPG 2.2.23」公開を発表した。
Kubernetesクラスタを安全にする「cert-manager 1.0」が公開
Jetstack(米Venafi)は9月2日、Kubernetes向けX.509証明書管理の正式版「cert-manager 1.0」を公開した。
アップストリームを狙う攻撃が急増ーー米Sonatypeが報告書
米Sonatypeは8月12日(米国時間)、オープンソースのエコシステムに関する報告書「2020 State of the Software Supply Chain」を発表した。オープンソースライブラリにおける次世代型の悪意あるコンポーネントの数は、430%増加したと報告している。
OSSの安全性に取り組むLinux FoundationのOpenSSF、Microsoftらが設立メンバーに
Linuxなどオープンソースを推進する非営利団体Linux Foundationは8月3日(米国時間)、オープンソースソフトウェアのセキュリティ向上のための取り組み「Open Source Security Foundation(OpenSSF)」を発表した。設立メンバーとして米Microsoftも名を連ねている。
FreeBSDベースのファイアウォール「OPNsense 20.7」が公開
オープンソースのファイアウォール「OPNsense」を開発するプロジェクトは7月30日、最新のメジャーリリースとなる「OPNsense 20.7」(”Legendary Lion”)を公開した。DHCPv6 multi-WANのサポートなどが加わっている。
「OpenSSH 8.3」公開、バグ修正が中心のリリースに
SSHプロトコルの実装「OpenSSH」開発チームは5月27日、最新版となる「OpenSSH 8.3」を公開した。バグ修正が中心のリリースとなる。
Google、二要素認証向けの独自セキュリティキーを作成できるプラットフォーム「OpenSK」を公開
Googleは1月30日、開発者が独自のセキュリティキー機能を構築できる「OpenSK」をオープンソースで公開した。
Kubernetes、バグ発見に報酬を払うプログラムを開始
コンテナクラスタ構築・管理ツールKubernetesが、バグ発見に報酬を支払うプログラム(bug bounty program)を実施する。報酬金額は200~1万ドル。一般のセキュリティ専門家によるバグ発見を奨励することで、普及が進むKubernetesの安全性確保を図る。
ファイアウォール向けLinuxディストリビューション「IPFire 2.23 Core Update 139」リリース
IPFire開発チームは1月9日、Linuxベースのファイアウォールシステム「IPFire 2.23 Core Update 139」公開を発表した。
「OpenSSH 8.1」リリース、バグ修正が中心
OpenBSD Foundationは10月8日、SSH 2.0のフリー実装「OpenSSH 8.1」を公開した。
英SophosがWindowsサンドボックスの「Sandboxie」を無償化、将来はオープンソースに
セキュリティ企業の英Sophosは9月10日、Microsoft Windowsのサンドボックスプログラム「Sandboxie」をオープンソースにする意向を発表した。ライセンスやコードの公開時期はまだ未定とのことだが、これにあわせて同日リリースした最新版「Sandboxie 5.31.4」が無償化されている。
「IPFire 2.23 Core 135」が公開
オープンソースのファイアウォールディストリビューション「IPFire」開発チームは9月4日、最新安定版となる「IPFire 2.23 Core 135」を公開した。
Linux Foundation、データを安全に処理できる環境構築を目指す「Confidential Computing Consortium(CCC)」を発表
The Linux Foundationは8月21日(米国時間)、セキュアなコンピューティング環境を構築することを目指す新プロジェクト「Confidential Computing Consortium(CCC)」の立ち上げを発表した。米IBM、Red Hat、米Intel、米Microsoft、Armなどが創設メンバーとして名を連ねている。
「PostgreSQL 11.5」リリース、4件のセキュリティ問題を修正
The PostgreSQL Global Development Groupは8月8日、「PostgreSQL 11.5」など複数バージョンの最新のポイントリリースを公開した。
FreeBSDベースのファイアウォール「OPNsense 19.7」リリース
FreeBSDベースのファイアウォール「OPNsense」開発チームは7月17日、「OPNsense 19.7」(開発コード「Jazzy Jaguar」)を公開した。
「OpenSSH 8.0/8.0p」リリース、scpプロトコルに関連した脆弱性を修正
SSH 2.0のフリー実装である「OpenSSH」開発プロジェクトは4月18日、最新版となる「OpenSSH 8.0/8.0p」のリリースを発表した。
