オープンソースプロジェクトのセキュリティを1発で自動評価してくれる「Security Scorecards」が登場

Googleも参加しているオープンソースセキュリティ財団(OpenSSF)が2020年11月6日に、オープンソースプロジェクトの安全性を自動的に評価できる「Security Scorecards」を発表しました。

Security Scorecards for Open Source Projects - Open Source Security Foundation
https://openssf.org/blog/2020/11/06/security-scorecards-for-open-source-projects/

Security scorecards for open source projects | Google Open Source Blog
https://opensource.googleblog.com/2020/11/security-scorecards-for-open-source.html

オープンソースソフトウェアの開発現場では、ゼロからコードを書くのではなく、パッケージ化された別のオープンソースソフトウェアの機能を使用することがあります。このように、あるオブジェクトが別のオブジェクトに依存して動作する仕組みは「依存関係」と呼ばれています。

Googleなどの大手IT企業でも、ソフトウェアにオープンソースプロジェクトに依存関係を組み込むことがありますが、パッケージが安全なのかどうかを確認するのは非常に骨が折れる作業とのこと。Googleでさえ依存関係の導入には手を焼いているため、小規模でリソースが限られているオープンソースプロジェクトプロジェクトの開発現場では、セキュリティが二の次になっていることがしばしばだと、GoogleのプロダクトマネージャーであるKim Lewandowski氏は指摘しています。

Lewandowski氏自身、エンジニアとして駆け出しのころは、セキュリティについて考えもせずに適当なパッケージを取り込んで自分のウェブサイトを作ったことがあると、OpenSSFの公式ブログで白状しています。こうした問題意識を受けて、2020年8月に発足したOpenSSFが記念すべき最初のオープンソースプロジェクトとしてリリースしたのが「Security Scorecards」です。

Security Scorecardsは、オープンソースプロジェクトを利用するのに伴うセキュリティの問題についてより良い判断を行い、プロジェクトの健全性をしっかり見直せるようにすることを主眼として開発されたもの。Security Scorecardsを使用すると、オープンソースプロジェクトの「セキュリティスコア」が自動生成されるため、新たに依存関係を導入する際のリスクやセキュリティに関する評価が従来より簡単になるとのことです。

プロジェクトにSecurity Scorecardsを使用すると、「プロジェクトにセキュリティポリシーが含まれているか」「少なくとも2つの異なる組織からの貢献者がいるか」「依存関係の宣言などが行われているか」をはじめとする12項目について自動的にチェックが行われ、「合格／不合格」の判定と「0〜10の信頼スコア」での採点を行ってくれます。

2020年10月には、「正規のパッケージに偽装した悪意あるオープンソースコンポーネントが出回っていた」といった事例も報告されており、OpenSSFは「Security Scorecardsのような取り組みは、悪意ある依存関係が本番システムに潜り込むリスクを軽減するのに役立ちます」と述べています。

Security Scorecardsは目下のところ、GitHubのリポジトリでしか動作しませんが、OpenSSFでは今後他のソースコードリポジトリでもSecurity Scorecardsが使えるよう開発を進めていく方針としています。