投稿日:2022/6/23
こんにちは。完全自動化研究所の小佐井です。
グーグルが脆弱性の有無を定期的に検証して安全と診断したOSS(オープンソースソフトウェア)を公開し、利用できるようにするサービスのプレビュー版を7月にも開始するというニュースが出ました。
サービス名は「Assured Open Source Software(保証されたオープンソースソフトウエア=OSS)」です。少し詳しく見てみましょう。
1. Assured Open Source Softwareとは?
「Assured Open Source Software」というサービスは、グーグルが脆弱性の有無を定期的に検証して安全と診断したOSSを公開し、利用できるようにするものです。
グーグルが無効あるいは不正な入力によってソフトウエアの挙動を確認するファジングテストを定期的に実施します。
OSSの利用は広がり続けています。
記事によると、金融、製造など17業種2409件の業務システムのソースコードを分析したところ、97%が何らかのOSS部品を利用していたそうです。
このように多くの企業が利用しているOSSに対し、セキュリティテストを行うサービスが必要とされるのは、OSSに対するセキュリティの懸念が高まっているからです。
- 2021年12月にプログラミング言語Java(ジャバ)のログ出力ライブラリー「Apache Log4j(アパッチ ログフォージェイ)」重大な欠陥が見つかった
- 22年3月にJavaアプリケーションフレームワーク「Spring Framework(スプリング・フレームワーク)」の脆弱性が見つかった
- 2021年にはOSSの公開リポジトリー(ソースコードの格納庫)を狙う攻撃が前年比で650%も増えた
2. 対象となる分野は?
当初は2021年12月に重大な欠陥が見つかったプログラミング言語Java(ジャバ)のログ出力ライブラリー「Apache Log4j(アパッチ ログフォージェイ)」など、JavaとPython(パイソン)に関連する一部のOSSパッケージを配布対象にするということです。
3. まとめ
OSSの利用は97%ということで、思った以上に浸透しているという印象です。私もかなり利用しています。RPAツールにOSSのETLツールやデータベースを組み合わせて、高度な自動化を実現しています。
なんといっても無料なのが、とんでもない魅力ですよね。
OSSを使って心配なのはセキュリティの面なので、セキュリティ面がグーグル社により、ある程度保証されるということは朗報ですね。
まだ、発表されたばかりのサービスなので、今後も注視していこうと思います。
