Google、SLSAコミュニティーと提携してコンテナベースの「SLSA 3ビルダー」を開発：機密コンピューティング研究プロジェクト「Oak」に適用した例を紹介

Googleは、SLSAコミュニティーと協力して、SLSA 3のビルド来歴（Provenance）を生成可能なコンテナベースのビルダーを開発、公開したと発表した。

» 2023年07月03日 11時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleは2023年6月16日（米国時間）、公式セキュリティブログで、同社のセキュリティチームがSLSA（Supply Chain Levels for Software Artifacts：「サルサ」と発音）コミュニティーと協力してSLSA 3のビルド来歴（Provenance）を生成可能なコンテナベースのビルダーを開発、公開したと発表した。

　SLSAは、ソフトウェアサプライチェーンの完全性を保証するためのセキュリティフレームワーク。ソフトウェアパッケージの作成に使用されているソースコードやビルドシステムが信頼できるかどうかを評価するのに役立つ指標であり、セキュリティの厳格さを示す4つのレベルで構成されている。SLSA 3はソースコードプラットフォームとビルドプラットフォームが、特定の基準を満たし、強力に改ざんを防止していることを示すものだ。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

OpenSSF、ソフトウェアサプライチェーンのセキュリティ強化フレームワーク「SLSA v1.0」を公開
OpenSSFは、「Supply-chain Levels for Software Artifacts」（SLSA）のVersion 1.0を公開した。
セキュリティを高める「SBOM」、なぜ利用が進んでいるのか
The Linux Foundationはソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials（SBOM） and Cybersecurity Readiness」（ソフトウェア部品表《SBOM》とサイバーセキュリティへの対応状況）を発表した。SBOMは最近のアプリケーションのおよそ90％がオープンソースソフトウェアを利用しているという状況に沿った解決策だ。
「協力会社のOSS利用、把握する必要なんかあるんですか？」
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」。今回からは、ソフトウェア開発企業X社の開発者である新城くんが、協力会社も巻き込んだ大規模な開発に取り組む中で直面する、OSSコンプライアンス問題とその解決策を解説していきます。