[市場動向]
サイバートラスト、OpenSSFのOSSセキュリティ重点施策に沿った活動を開始
2022年10月24日(月)日川 佳三(IT Leaders編集部)
サイバートラストは2022年10月24日、オープンソースソフトウェア(OSS)のセキュリティを高める活動の一環として、OpenSSFが推進する10項目の重点施策のうち7項目について具体的な活動を開始したと発表した。「セキュリティ教育と認定」や「SBOM(ソフトウェア部品表)の普及」などである。
サイバートラストは、オープンソースソフトウェア(OSS)のセキュリティを高める活動の一環として、The Linux FoundationのOpenSSFが推進する10項目の重点施策のうち、7項目について具体的な活動を開始したと発表した。「セキュリティ教育と認定」や「SBOM(ソフトウェア部品表)の普及」などである(表1)。
図1:サイバートラストによるOpenSSFセキュリティ動員計画への貢献内容(出典:サイバートラスト)拡大画像表示
まずは、下記の5つの重点項目について活動を始めた。活動にあたって、OSSコミュニティとの連携と事業推進の両輪を推進可能な部門横断体制を構築したとしている。
- セキュリティ教育と認定:OpenSSFが発行する英語コンテンツの日本語翻訳、コミュニティおよび市場でのトレーニングやセミナーの実施
- デジタル署名:電子認証局の運営に関する知見の共有と、国内でSigstoreを運用できるかどうかの検討
- データ共有:ディストリビュータの知見を活かし、OSSの利用状況、CPE(共通プラットフォーム一覧)のゆらぎなどの情報をフィードバック/修正
- SBOMの普及:SBOMの利用状況に関する情報のフィードバック、自社の製品・サービスとSBOMとの連携強化と提供
- サプライチェーンの改善:Yocto、KernelCI、CIPなどのOSSビルドシステム、CI/CD、ツールなどのコミュニティへの積極参加、フィードバックと自社製品・サービスへの迅速な取り組み
さらに今後、取り組む重点項目を増やす。具体的には、「新しい脆弱性の検出の加速」と「OSSコンポーネントのサードパーティコードレビュー(監査)の実施」を追加する予定である。これにより、全10項目のうち7項目をカバーする。
実績の1つとして、脆弱性管理ツール「MIRACLE Vul Hammer」新版で、SBOM連携機能を追加した。IoT/組み込み用の長期サポートLinux OS「EMLinux」では、ビルドするパッケージの脆弱性をチェックする機能や、SBOMの生成機能などを追加した。また、グループ企業のリネオソリューションズを通じて、Linux Foundation公認のYoctoトレーニングやエンジニア教育を実施している(関連記事:サイバートラスト、脆弱性管理「MIRACLE Vul Hammer V4」を提供、SBOMでライブラリ全体を検査)。
なお、サイバートラストはこれまで、各種のOSSコミュニティで活動してきた。OpenSSFにおいても、General Memberとして日本での普及に向けて貢献している。
