非営利団体Linux Foundationは3月9日(米国時間)、最新のプロジェクト「Sigstore」を発表した。リリースファイルへの署名を容易にすることで、ソフトウェアサプライチェーン攻撃に対する保護対策を進める狙い。
セキュリティ
クラウドネイティブアプリ向けセキュリティ「Curiefense 1.3」
クラウドアプリケーションのためのセキュリティプラットフォーム「Curiefense」開発チームは3月2日、初のGA(一般公開)となる「Curiefense 1.3.0」公開を発表した。
「OpenSSH 8.5」が公開
SSHプロトコルのオープンな実装「OpenSSH」開発チームは3月3日、最新版となる「OpenSSH 8.5」を公開した。ベターなアルゴリズムに自動アップデートできるUpdateHostkeysがデフォルトで有効になるなどの強化が加わっている。OpenSSH 8.5は2019年に初版が公開された8系の最新版で、2020年9月に公開されたバージョン8.4に続くリリース。
Linux FoundationとGoogle、Linuxカーネル安全性強化に向け専任担当を起用
Linuxを推進する非営利団体Linux FoundationとGoogle(米Alphabet傘下)は2月24日(米国時間)、Linuxカーネルの安全性にフォーカスするためにフルタイムの開発者2名を起用する資金の設立を発表した。今後長きに渡りLinuxが持続できるための安全性の取り組みを前進させる狙い。Linuxは2020年8月時点で20万人以上の貢献者が開発に参加しており、コミット数は100万件にのぼるという。
「PostgreSQL 13.2」が公開、バージョン9.5系はEOLに
オープンソースのリレーショナルデータベース「PostgreSQL」を開発するPostgreSQL Global Development Groupは2月11日、最新安定版となる「PostgreSQL 13.2」を公開した。セキュリティ脆弱性の修正が特徴となる。
Googleがオープンソースのセキュリティ問題に対し、「知る、予防する、修正する」アプローチを提案
Google(米Alphabet傘下)は2月3日、Open Source公式ブログでオープンソースの脆弱性問題に対し、「知る、予防する、修正する(Know, Prevent, Fix)」フレームワークを提唱した。
オープンソースファイアウォール「pfSense」の商用版が「pfSense Plus」に変更へ
オープンソースのファイアウォールOS「pfSense」を開発・提供する米Netateは1月21日、2月より商用版「pfSense Factory Edition(FE)」を「pfSense Plus」と名称変更することを発表した。
過半数がオープンソースのパッチ適用に2〜3週間ーーSynopsys調査
米Synopsysは12月8日(米国時間)、オープンソースのセキュリティ管理やDevOpsプラクティスに関する年次報告書「DevSecOps Practices and Open Source Management in 2020」を発表した。
GitLabがセキュリティレポートを発表、脆弱性を含む依存性を使用する比率が増加
オランダGitLabは10月6日、セキュリティトレンドの報告書を発表した。GitLab.comがホスティングしているプロジェクトのコードをスキャンし、セキュリティ脆弱性の傾向を調べたもので、LodashやjQueryに脆弱性が含まれたまま使われている現実が浮き彫りになった。
GitHub、コードスキャン機能をGAに
GitHub(米Microsoft傘下)は9月30日、コードスキャン(Code Scanning)機能を一般公開(GA)したことを発表した。買収により取得したCodeQL技術に基づくもので、リポジトリで有効にすることでコードの脆弱性スキャンができる。
FIDOサポートを強化した「OpenSSH 8.4」が公開
SSHプロトコルのオープンな実装であるOpenSSH開発プロジェクトは9月27日、最新版となる「OpenSSH 8.4」公開を発表した。FIDO鍵のサポート強化などが加わっている。
セキュリティ問題を修正した「GnuPG 2.2.23」が公開
GNU Privacy Guard(GnuPG)プロジェクトは9月3日、OpenPGPとS/MIMEのフリー実装の最新版「GnuPG 2.2.23」公開を発表した。
Kubernetesクラスタを安全にする「cert-manager 1.0」が公開
Jetstack(米Venafi)は9月2日、Kubernetes向けX.509証明書管理の正式版「cert-manager 1.0」を公開した。
アップストリームを狙う攻撃が急増ーー米Sonatypeが報告書
米Sonatypeは8月12日(米国時間)、オープンソースのエコシステムに関する報告書「2020 State of the Software Supply Chain」を発表した。オープンソースライブラリにおける次世代型の悪意あるコンポーネントの数は、430%増加したと報告している。
OSSの安全性に取り組むLinux FoundationのOpenSSF、Microsoftらが設立メンバーに
Linuxなどオープンソースを推進する非営利団体Linux Foundationは8月3日(米国時間)、オープンソースソフトウェアのセキュリティ向上のための取り組み「Open Source Security Foundation(OpenSSF)」を発表した。設立メンバーとして米Microsoftも名を連ねている。
FreeBSDベースのファイアウォール「OPNsense 20.7」が公開
オープンソースのファイアウォール「OPNsense」を開発するプロジェクトは7月30日、最新のメジャーリリースとなる「OPNsense 20.7」(”Legendary Lion”)を公開した。DHCPv6 multi-WANのサポートなどが加わっている。
「OpenSSH 8.3」公開、バグ修正が中心のリリースに
SSHプロトコルの実装「OpenSSH」開発チームは5月27日、最新版となる「OpenSSH 8.3」を公開した。バグ修正が中心のリリースとなる。
Google、二要素認証向けの独自セキュリティキーを作成できるプラットフォーム「OpenSK」を公開
Googleは1月30日、開発者が独自のセキュリティキー機能を構築できる「OpenSK」をオープンソースで公開した。
Kubernetes、バグ発見に報酬を払うプログラムを開始
コンテナクラスタ構築・管理ツールKubernetesが、バグ発見に報酬を支払うプログラム(bug bounty program)を実施する。報酬金額は200~1万ドル。一般のセキュリティ専門家によるバグ発見を奨励することで、普及が進むKubernetesの安全性確保を図る。
ファイアウォール向けLinuxディストリビューション「IPFire 2.23 Core Update 139」リリース
IPFire開発チームは1月9日、Linuxベースのファイアウォールシステム「IPFire 2.23 Core Update 139」公開を発表した。
