OpenSSF「セキュアソフトウェア開発の指針」トップ10を発表
The Linux Foundation Japan
本ブログは、OpenSSF Releases Top 10 Secure Software Development Guiding Principles ( https://openssf.org/blog/2023/12/03/openssf-releases-top-10-secure-software-development-guiding-principles/ ) の参考訳です。
本日、「セキュアソフトウェア開発の指針」 バージョン1.0を発表できることを嬉しく思います。これらの10の指針は、それらを活用する組織に、より確かな保証とセキュリティを提供する一連の基本的な実践方法を説明しています。 野心的ではありますが、これらの指針は、ソフトウェアの生産者と供給者が開発ライフサイクル全体を通じてこれに準拠し、従うことを誓約する一連のコアプラクティスを提供しており、よりセキュアなソフトウェアの生産に役立ちます。
OpenSSF理事会は、この指針を承認し、署名者 ( https://github.com/ossf/wg-best-practices-os-developers/blob/main/docs/securesoftwaredevelopmentguidingprinciples-signatures.md ) としてサインすることを可決しました。他の多くの個人、組織、プロジェクトに対して、引き続きプルリクエストを提出することで署名に参加するよう招請しています。
エコシステムパートナーからの支持表明 (原文より)
“At the Eclipse Foundation, we’re committed to championing the Secure Software Development Guiding Principles among communities and promoting security as a fundamental part of the software creation process. Our support for these principles in our projects reflects our dedication to cultivating a leading collaborative development model that values security, trust, and resilience as highly as we value community-driven open source best practices.” - Mikael Barbero, Head of Security, Eclipse Foundation
“The Rust Foundation is dedicated to ensuring that Rust is safe, secure and sustainable, and we are delighted to support these Secure Software Development Guiding Principles, which clearly lay out best practice, and demonstrate our commitment to developing software that is secure by default.” - Rebecca Rumbul, CEO at the Rust Foundation
OpenSSF Best Practices Working Groupが策定した本指針は、OpenSSF End User Working GroupのOpen Source Consumption Manifesto (オープンソース消費マニフェスト https://openssf.org/blog/2023/08/24/join-us-in-adopting-the-open-source-consumption-manifesto/ ) に付随するものです。私たちは、オープンソースコンポーネントを使用してソフトウェアを生産・供給するすべての組織が、これらの指針を守り、賛同して署名を検討することを歓迎します。
指針リストは、 Best Practices Working GroupのGitHubリポジトリ ( https://github.com/ossf/wg-best-practices-os-developers/blob/main/docs/SecureSoftwareGuidingPrinciples.md ) または、以下をご覧ください。
セキュアソフトウェア開発の指針 バージョン1.0
ソフトウェアの開発者として、何もしなくてもセキュリティに優れたソフトウェアを作成することを目標に、プロプライエタリ/オープンソース問わず、デバイスへの組み込み、単独でのリリース、サービスとして運用するように設計されたソフトウェア、のいずれであっても、私たちが生産するすべてのソフトウェアに対して以下を誓約することで、私たちはソフトウェア サプライチェーンのセキュリティと透明性を強化することを約束します。
業界で受け入れられている最新のセキュリティに優れた開発方法に準拠した開発手法を採用します。
セキュリティに優れたソフトウェア設計指針 (最小権限など) を学習し適用します。
最も一般的な種類の脆弱性を学び、その可能性を低くするか、その影響を制限するための措置を講じます。
ソフトウェアをリリースする前に既知、および潜在的な重大脆弱性をチェックして対処し、その後も製品のサポート期間を通して脆弱性を監視します。
ソフトウェア開発インフラストラクチャを強化し、またセキュリティを維持して、それらのインフラで開発および構築されたソフトウェアに設定されている指針、実践、および期待を阻害する侵害や侵入を防ぎます。
「セキュアソフトウェア開発の指針」に準拠して開発することを誓約している供給者および開発者からの調達、およびセキュリティ健全性メトリックスを公に報告し、ソフトウェア パッケージの改ざん防止を管理し、既知/発見された悪意のあるソフトウェアに積極的に対処している、プロジェクトからのソフトウェアの調達を優先します。
進化している業界標準、プラクティス、ツールと合致しているソフトウェア サプライチェーンであることを分かりやすく、ソフトウェア消費者に理解させます。
アップストリームの依存関係を含み、脆弱性の報告と修復ポリシーを公的に文書化した、責任ある脆弱性開示プログラムを管理、提供します。
進化している業界のベスト プラクティスと合致したセキュリティ アドバイザリを公開します。
ソフトウェアサプライチェーンのセキュリティ保護に関連する業界/規制当局イニシアチブに積極的に協力・参加し、業界の仲間に「セキュアソフトウェア開発の指針」の採用を広めます。