Googleは、SLSAコミュニティーと協力して、SLSA 3のビルド来歴(Provenance)を生成可能なコンテナベースのビルダーを開発、公開したと発表した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Googleは2023年6月16日(米国時間)、公式セキュリティブログで、同社のセキュリティチームがSLSA(Supply Chain Levels for Software Artifacts:「サルサ」と発音)コミュニティーと協力してSLSA 3のビルド来歴(Provenance)を生成可能なコンテナベースのビルダーを開発、公開したと発表した。
SLSAは、ソフトウェアサプライチェーンの完全性を保証するためのセキュリティフレームワーク。ソフトウェアパッケージの作成に使用されているソースコードやビルドシステムが信頼できるかどうかを評価するのに役立つ指標であり、セキュリティの厳格さを示す4つのレベルで構成されている。SLSA 3はソースコードプラットフォームとビルドプラットフォームが、特定の基準を満たし、強力に改ざんを防止していることを示すものだ。
Googleは、同社のセキュリティチームが推進する機密コンピューティングプロジェクト「Oak」にSLSA 3ビルダーを適用した事例を紹介した。Oakは、ユーザーのデバイスとクラウドサービス間でやり取りされる位置情報、画像、テキストクエリなどの個人データを保護するためのインフラを研究、開発するオープンソースプロジェクトであり、2023年6月時点で、セキュアランタイムとリモート認証プロトコルを開発している。
SLSA 3ビルダーにより、Oakセキュアランタイムのリリースバージョンごとに、Oakチームだけがアクセス可能なキーを利用して、バイナリのAttestation(証明)を生成する。この証明は、悪意のある攻撃者が偽造できない仕組みのため、Oakが提供するソフトウェアバイナリが安全に生成され、信頼性が確保されていることを証明できるという。
これにより、Oakでリリースされたバイナリが信頼できるビルドプロセスを使ってビルドされたかを確認したり、改ざんされたりしていないかを検証可能になったとし、以下のような質問にも回答できるとしている。
さらに、クライアントがサーバに接続する際に、この来歴や証明情報を使用することで、ユーザー自身のプライバシーデータがオープンソースのOakセキュアランタイムで保護されており、SLSA 3に準拠していることを確認できるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.