OpenSSF、ソフトウェアサプライチェーンのセキュリティ強化フレームワーク「SLSA v1.0」を公開：ソースコードやビルドシステムの改ざんを防止

OpenSSFは、「Supply-chain Levels for Software Artifacts」（SLSA）のVersion 1.0を公開した。

[＠IT]

　Open Source Security Foundation（OpenSSF）は2023年4月19日（米国時間）、「Supply-chain Levels for Software Artifacts」（SLSA）のVersion 1.0を公開した。

　SLSA（「サルサ」と発音）は、ソフトウェアサプライチェーンのセキュリティに関する仕様を提供するOpenSSFのプロジェクト。これらの仕様は、関連コミュニティーの専門家の合意によって確立されており、段階的に導入できる。OpenSSFは、オープンソースソフトウェア（OSS）を通じたイノベーション促進を目指す非営利組織Linux Foundationのプロジェクトであり、オープンソースエコシステムの安全性向上に取り組んでいる。

　ソフトウェアの構築および配布プロセスの弱点を突いて、このプロセスを妨害するソフトウェアサプライチェーン攻撃は、常に存在する脅威だが、「SLSAは、ソースコードやビルドシステムの改ざんを防止するフレームワークを提供する」と、OpenSSFは説明している。

　「SLSAで規定される仕様は、ソフトウェアの生産者と消費者の両方にとって有益だ。生産者はSLSAのガイドラインに従って、ソフトウェアサプライチェーンの安全性を高めることができ、消費者はSLSAを用いて、ソフトウェアパッケージを信頼するかどうかを判断できる」（OpenSSF）

　SLSAは以下を提供する。

• ソフトウェアサプライチェーンのセキュリティに関する共通語彙（ごい）
• 消費する成果物（ソースコード、ビルド、コンテナイメージなど）の信頼性を評価することで、上流の依存関係を評価する方法
• 自社ソフトウェアのセキュリティを向上させるための実践的なチェックリスト
• NISTセキュアソフトウェア開発フレームワーク（SSDF）において、大統領令で今後定められる基準への準拠に向けた取り組みを測定する方法

　SLSAのフレームワークは、セキュリティの厳格さを示す一連のレベルに整理されており、SLSAがv1.0に到達する際に、各レベルの要件が複数のトラックに分割されるようになった。これらのトラックはそれぞれ、ビルド、ソース、依存関係など、ソフトウェアサプライチェーンの1つの領域に焦点を当てている。こうしたトラック分割により、SLSAはより導入しやすくなったと、OpenSSFは説明している。

　SLSA v1.0はビルドトラックから始まっている。ビルドトラックでは、ソフトウェアデリバリーライフサイクルの他の重要な側面に対応するようにフレームワークを拡張するための基盤が確立される。

　OpenSSFは、ソフトウェア生産者、ソフトウェア消費者、インフラプロバイダーのそれぞれの観点から、SLSAを採用する利点を次のように説明している。

ソフトウェア生産者（ソフトウェアベンダー、自社で使用するファーストパーティーコードを作成するチームなど）にとっての利点

　SLSAは、ソフトウェア消費者へのサプライチェーンにおける改ざんを防止し、インサイダーリスクを低減するとともに、作成したソフトウェアが意図した通りに消費者に届くという信頼性を高める。また、SLSAはオープンソースプロジェクトやエコシステムに関しては、作成したリリースのソースコードや依存関係が改ざんされていないことを証明するフレームワークを提供する。多くのオープンソースプロジェクトはボランティアで運営されているため、既存プロジェクトにSLSAを簡単に追加するためのツールが用意されている。

ソフトウェア消費者（オープンソースパッケージを使用する開発チーム、ベンダーが販売するソフトウェアを使用する政府機関、組織のリスクを判断するCISO《最高情報セキュリティ責任者》など）にとっての利点

　SLSAは、消費者がソフトウェアのセキュリティ対策を評価したり、入手したものが期待通りであることを確認したりするための方法を提供する。

インフラプロバイダー（エコシステムのパッケージ管理ツール、ビルドプラットフォーム、CI/CD《継続的インテグレーション／継続的デリバリー》システムといったインフラの提供者）にとっての利点

　生産者と消費者を橋渡しするインフラプロバイダーがSLSAを採用することで、両者間のソフトウェアサプライチェーンの安全性を高める。