米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

こんにちは、丸山満彦です。

CISAがオープンソース・ソフトウェア・セキュリティ・ロードマップを公開していますね。。。

優先事項は、、、

(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立

(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進

(3) 連邦政府に対するリスクの低減

(4) オープンソースエコシステムの強化

 

● CISA

・2023.09.12 CISA Open Source Software Security Roadmap

 

CISA Open Source Software Security Roadmap	CISAオープンソース・ソフトウェア・セキュリティ・ロードマップ
CISA’s Open Source Software Security Roadmap lays out CISA’s path forward to help ensure a secure open source software ecosystem.	CISAのオープンソース・ソフトウェア・セキュリティ・ロードマップは、安全なオープンソース・ソフトウェアのエコシステムを確保するためのCISAの進むべき道を示している。
Open source software is software that anyone can access, modify, and distribute, which can lead to greater collaboration and higher-quality code. At the same time, vulnerabilities like Log4shell have illustrated the downstream impact for flaws in widely used open source code.	オープンソースソフトウェアは、誰もがアクセスし、変更し、配布できるソフトウェアであり、より大きなコラボレーションとより高い品質のコードをもたらすことができる。同時に、Log4shellのような脆弱性は、広く使われているオープンソース・コードの欠陥が下流に与える影響を示している。
The roadmap lays out four key priorities to help secure the open source software ecosystem: (1) establishing CISA’s role in supporting the security of open source software, (2) driving visibility into open source software usage and risks, (3) reducing risks to the federal government, and (4) hardening the open source ecosystem.	ロードマップは、オープンソースソフトウェアのエコシステムの安全確保を支援するための4つの重要な優先事項を示している。(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立、(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進、(3) 連邦政府に対するリスクの低減、(4) オープンソースエコシステムの強化である。

 

・[PDF] 

 

 

Overview	概要
The federal government, critical infrastructure, and state, local, tribal, and territorial (SLTT) governments greatly depend upon open source software (OSS). OSS is software for which the humanreadable source code[1] is made available to the public for use, study, re-use, modification, enhancement, and re-distribution. OSS is part of the foundation of software used across critical infrastructure, supporting every single critical infrastructure sector and every National Critical Function: one study[2] found that 96% of studied codebases across various sectors contain open source code, and 76% of code in studied codebases was open source. Therefore, to fulfill CISA’s mission of understanding, managing, and reducing risks to the federal government and critical infrastructure, we must understand and protect the open source software that we rely upon.	連邦政府、重要インフラ、州・地方・部族・準州（SLTT）政府は、オープンソースソフトウェア（OSS）に大きく依存している。OSSとは、人間が読み取り可能なソースコード[1]が、利用、研究、再利用、修正、拡張、再配布のために一般に公開されているソフトウェアのことである。ある調査[2]によると、さまざまな部門で調査されたコードベースの96%がオープンソースコードを含み、調査されたコードベースのコードの76%がオープンソースであった。したがって、連邦政府と重要インフラに対するリスクを理解し、管理し、削減するというCISAの使命を果たすためには、われわれが依存しているオープンソース・ソフトウェアを理解し、保護しなければならない。
As a public good, open-source software is supported by diverse and wide-ranging communities—which are composed of individual maintainers, non-profit software foundations, and corporate stewards. CISA must integrate into and support these communities, with a particular focus on the critical OSS components that the federal government and critical infrastructure systems rely upon.	公共財であるオープンソースソフトウェアは、個人のメンテナ、非営利ソフトウェア財団、企業のスチュワードで構成される多様で広範なコミュニティによって支えられている。CISAは、連邦政府と重要インフラ・システムが依存する重要なOSSコンポーネントに特に重点を置いて、これらのコミュニティに統合し、支援しなければならない。
CISA recognizes the immense benefits of open source software, which enables software developers to work at an accelerated pace and fosters significant innovation and collaboration. With these benefits in mind, this roadmap lays out how CISA will help enable the secure usage and development of OSS, both within and outside the federal government. As detailed below, the roadmap centers on four key goals: 1) establishing CISA’s role in supporting the security of OSS, 2) understanding the prevalence of key open source dependencies, 3) reducing risks to the federal government, and 4) hardening the broader OSS ecosystem.	CISAは、オープンソースソフトウェアがソフトウェア開発者に加速度的なペースでの作業を可能にし、多大なイノベーションとコラボレーションを促進するという、計り知れないメリットを認識している。こうした利点を念頭に、このロードマップは、連邦政府内外でOSSの安全な利用と開発を可能にするためにCISAがどのような支援を行うかを示している。以下に詳述するように、ロードマップは4つの重要な目標を中心に据えている： 1）OSSのセキュリティ支援におけるCISAの役割の確立、2）主要なオープンソース依存関係の普及状況の把握、3）連邦政府に対するリスクの低減、4）広範なOSSエコシステムの強化である。
Vision	ビジョン
Aligning with the National Cybersecurity Strategy’s goal of a “more resilient, equitable, and defensible cyberspace,” CISA envisions a prosperous future where secure, resilient technology is the backbone of our world. Open source software, fostering significant growth as part of the foundation on which technology is built, is key to this future. We envision a world in which every critical OSS project is not only secure but sustainable and resilient, supported by a healthy, diverse, and vibrant community. In this world, OSS developers are empowered to make their software as secure as possible. Further, the incredible growth fostered by OSS is coupled with action from those who capitalize on OSS to be good stewards of the projects they depend on. In this world, OSS consumers responsibly use it, contributing back to the extent they can to the community and code they depend on. Similarly, consumers and integrators of these OSS projects are given the tools to ensure the packages they use are secure and well curated.	国家サイバーセキュリティ戦略の目標である「よりレジリエンスに優れ、公平で、防衛可能なサイバー空間」に沿って、CISAは、安全でレジリエンスに優れた技術が私たちの世界を支える豊かな未来を構想している。オープンソースソフトウェアは、技術が構築される基盤の一部として大きな成長を促進し、この未来への鍵となる。私たちは、すべての重要なOSSプロジェクトが安全であるだけでなく、持続可能でレジリエンスに富み、健全で多様性に富み、活気に満ちたコミュニティに支えられている世界を思い描いている。この世界では、OSS開発者は自分たちのソフトウェアを可能な限り安全にする力を与えられる。さらに、OSSによって育まれた驚異的な成長は、OSSを活用する人々が、彼らが依存するプロジェクトの良きスチュワードであるための行動と結びついている。この世界では、OSSの消費者は責任を持ってOSSを利用し、彼らが依存するコミュニティやコードにできる範囲で貢献する。同様に、OSSプロジェクトの消費者とインテグレーターは、自分たちが使うパッケージが安全で、よく管理されていることを保証するためのツールを与えられる。
To achieve such a future, the federal government must take strong action towards maintaining and securing OSS infrastructure as reflected in the National Cybersecurity Strategy. CISA, given its responsibilities to defend and secure federal government information systems and coordinate a national effort to secure and protect against critical infrastructure risks, has a key role to play in OSS security, grounded in partnership with federal agencies, OSS consumers, and the OSS community.	そのような未来を実現するために、連邦政府は国家サイバーセキュリティ戦略に反映されているように、OSSインフラの維持と安全確保に向けて強力な行動を取らなければならない。CISAは、連邦政府の情報システムを防御・安全化し、重要インフラのリスクから安全かつ保護するための国家的取り組みを調整するガバナンスを持つことから、連邦国家安全保障局、OSS消費者、OSSコミュニティとのパートナーシップに基づき、OSSセキュリティで果たすべき重要な役割を担っている。
Threat Model	脅威モデル
In order to secure OSS, we must understand the relevant attacks and vulnerabilities. CISA is broadly concerned about two distinct classes of OSS vulnerabilities and attacks:	OSSのセキュリティを確保するためには、関連する攻撃と脆弱性を理解しなければならない。CISAは、OSSの脆弱性と攻撃について、大きく2つに分類して懸念している：
1.     The cascading effects of vulnerabilities in widely used OSS.	1.     広く使われているOSSの脆弱性の連鎖的影響。
As evidenced by the Log4Shell vulnerability, the ubiquity of OSS can cause vulnerabilities to have particularly widespread consequences. Given the prevalence of OSS across the federal government and critical infrastructure, any widespread vulnerability represents risk that CISA should seek to reduce. Similar to the potentially large impact of vulnerabilities in widely used closed-source software, the widespread and distributed nature of OSS can magnify the impact of OSS vulnerabilities. Hence, CISA should contribute to reducing the prevalence of exploitable vulnerabilities and aiding in response when vulnerabilities occur.	Log4Shellの脆弱性で証明されているように、OSSのユビキタス性は脆弱性が特に広範囲に影響を及ぼす原因となる。連邦政府と重要インフラにOSSが普及していることを考えると、脆弱性が広範囲に及ぶことは、CISAが削減を目指すべきリスクに相当する。広く使用されているクローズド・ソース・ソフトウェアの脆弱性が潜在的に大きな影響を及ぼすのと同様に、OSSの広範で分散した性質は、OSSの脆弱性の影響を拡大する可能性がある。したがって、CISAは、悪用可能な脆弱性の蔓延を減らし、脆弱性が発生した場合の対応を支援することに貢献すべきである。
2.     Supply-chain attacks on open source repositories leading to compromise of downstream software.	2.     オープンソース・リポジトリに対するサプライチェーン攻撃は、ダウンストリームソフトウェアの侵害につながる。
The second category of risks is the malicious compromise of OSS components, leading to downstream compromises. Examples include an attacker compromising a developer’s account and committing malicious code, or a developer intentionally inserting a backdoor into their package. Real-world examples include embedding cryptominers[3] in open source packages, modifying source code with protestware[4] that deletes a user’s files, and employing typosquatting[5] attacks that take advantage of developer errors.[6]	リスクの第二のカテゴリーは、OSS コンポーネントの悪意ある侵害であり、下流の侵害につながる。例としては、攻撃者が開発者のアカウントを侵害し、悪意のあるコードを実行することや、開発者が意図的にパッケージにバックドアを挿入することなどがある。実際の例としては、オープンソースパッケージにクリプトマイナー[3]を埋め込む、ユーザのファイルを削除するプロテストウェア[4]でソースコードを変更する、開発者のミスにつけ込むタイポスクワッティング[5]攻撃を採用する、などがある[6]。
Strategic Alignment	戦略的整合性
This OSS roadmap aligns to the National Cybersecurity Strategy, including Strategic Objective 4.1, which states that the federal government will “develop and drive adoption of solutions that will improve the security of the Internet ecosystem,” and Strategic Objective 3.3, which states that the federal government will collaborate with the private sector and OSS community to “invest in the development of secure software, including memory-safe languages.” CISA’s work in this roadmap is in fulfillment of Initiative 4.1.2 of the National Cybersecurity Strategy Implementation Plan, to “Promote open-source software security and the adoption of memory safe programming languages” via the Open Source Software Security Initiative (OS3I).	このOSSロードマップは、連邦政府が「インターネットのエコシステムのセキュリティを向上させるソリューションを開発し、採用を推進する」とする戦略目標4.1や、連邦政府が民間セクターやOSSコミュニティと協力して「メモリセーフ言語を含む安全なソフトウェアの開発に投資する」とする戦略目標3.3を含む国家サイバーセキュリティ戦略と整合している。このロードマップにおけるCISAの活動は、国家サイバーセキュリティ戦略実施計画のイニシアティブ4.1.2を実現するものであり、オープンソースソフトウェアセキュリティイニシアティブ（OS3I）を通じて「オープンソースソフトウェアセキュリティとメモリ安全プログラミング言語の採用を促進する」ものである。
This roadmap also advances Objective 1.4 of the CISA Strategic Plan for 2023-2025, which aims to achieve a cyberspace ecosystem that is secure-by-design and secure-by-default, and helps achieve  priority areas addressed through the OS3I interagency working group convened by the Office of the National Cyber Director, which include memory safety, Common Vulnerabilities and Exposures (CVE) reform, and education.	また、このロードマップは、2023-2025年のCISA戦略計画の目標1.4を推進するものであり、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトのサイバースペース・エコシステムを実現することを目指すものであり、国家サイバー長官室が招集したOS3I省庁間作業部会で取り上げられた優先分野（メモリ安全性、共通脆弱性・エクスポージャー（CVE）改革、教育など）の達成を支援するものである。
Lastly, this roadmap aims to align, where possible, to existing OSS community efforts. Objective 1.1 below specifically speaks to integrating into community initiatives to further align CISA and OSS community work.	最後に、このロードマップは、可能な限り、既存のOSSコミュニティの取り組みと整合させることを目指している。以下の目標 1.1 では、CISA と OSS コミュニティの活動をさらに連携させるため、コミュニティ・イニシアティ ブへの統合について特に言及している。
FY24-26 Open Source Goals & Objectives	FY24-26 オープンソースの目標と目標
Goal 1: Establish CISA’s Role in Supporting the Security of OSS	目標1: OSSのセキュリティ支援におけるCISAの役割を確立する。
It is crucial that CISA matures its working relationship with the OSS community to build a secure and resilient open source ecosystem. In line with CISA’s mission, this means identifying and reducing risks to the federal government and critical infrastructure and contributing back to help improve the security of the broader OSS ecosystem.	CISAがOSSコミュニティとの協力関係を成熟させ、安全でレジリエンスに優れたオープンソースのエコシステムを構築することは極めて重要である。CISAの使命に沿えば、これは連邦政府と重要インフラに対するリスクを特定して削減し、より広範なOSSエコシステムのセキュリティ改善を支援するために貢献することを意味する。
To achieve this, CISA must have the capabilities to understand the OSS ecosystem and collaborate with the OSS community. CISA recognizes that the open source community is not starting from scratch and already has many initiatives underway focused on security. CISA strives to align with and amplify these initiatives with the goal of channeling the federal government’s authorities and capabilities to foster greater OSS security.	これを達成するために、CISAはOSSエコシステムを理解し、OSSコミュニティと協力する能力を持たなければならない。CISAは、オープンソースコミュニティがゼロから出発しているわけではなく、すでにセキュリティに焦点を当てた多くの取り組みが進行中であることを認識している。CISAは、連邦政府の権限と能力を活用し、OSSセキュリティの向上を促進することを目標に、こうした取り組みと連携し、これを増幅するよう努める。
Objective 1.1. Partner With OSS Communities	目標 1.1. OSSコミュニティと提携する
CISA will show up as an OSS community member, working hand-in-hand with OSS communities. Similar to how CISA has formed partnership groups with companies across various sectors, CISA will establish partnerships with OSS communities. CISA will establish a real-time collaboration channel with OSS community members (including OSS foundations and community organizations, code hosting services, and package managers). This channel will allow the OSS community members to provide individual input on actions CISA is taking, individually participate in roadmap planning sessions, and allow CISA to identify additional ways to support OSS community efforts. CISA will also contribute to broader community efforts that work to strengthen the security and resiliency of the OSS ecosystem by participating in relevant community working groups on OSS security.	CISAはOSSコミュニティの一員として、OSSコミュニティと手を携えて活動する。CISAが様々な分野の企業とパートナーシップ・グループを形成してきたのと同様に、CISAはOSSコミュニティとのパートナーシップを確立する。CISAは、OSSコミュニティ・メンバー（OSS財団やコミュニティ組織、コード・ホスティング・サービス、パッケージ・マネージャーを含む）とのリアルタイム・コラボレーション・チャネルを確立する。このチャネルにより、OSSコミュニティ・メンバーはCISAが取っている行動について個別に意見を提供し、ロードマップ計画セッションに個別に参加し、CISAがOSSコミュニティの取り組みを支援する追加的な方法を特定できるようになる。CISAはまた、OSSセキュリティに関する関連コミュニティのワーキンググループに参加することで、OSSエコシステムのセキュリティとレジリエンスの強化に取り組む、より広範なコミュニティの取り組みに貢献する。
In addition, CISA will continue its ongoing collaborative planning effort with industry, OSS communities, and interagency partners to better understand the role OSS components currently play in industrial control system (ICS) products and develop a plan to improve those components’ maintenance and security.	さらに、CISAは、産業制御システム（ICS）製品においてOSSコンポーネントが現在果たしている役割をよりよく理解し、これらのコンポーネントの保守とセキュリティを改善する計画を策定するために、産業界、OSSコミュニティ、省庁間パートナーとの現在進行中の共同計画策定作業を継続する。
Objective 1.2. Encourage Collective Action From Centralized OSS Entities	目標1.2. 集中型OSS事業体の集団行動を奨励する。
Recognizing that centralized OSS entities such as package managers and code hosting services can help drive systemic security improvements, CISA will encourage collective action from and greater accountability by these entities. CISA will participate in relevant working groups on securing these centralized entities, with the goal of working collaboratively to develop security principles for package managers and other centralized platforms in the OSS ecosystem.	パッケージマネージャやコードホスティングサービスなどの中央集権的な OSS 事業体が、体系的なセキュリ ティ改善の推進に役立つことを認識し、CISA は、これらの事業体による集団的行動と説明責任 の強化を奨励する。CISA は、パッケージマネージャや OSS エコシステム内の他の集中型プラットフォー ムのセキュリティ原則を共同で策定することを目標に、これらの集中型事業体のセキュリ ティ確保に関する関連作業部会に参加する。
Objective 1.3. Expand Engagement and Collaboration With International Partners	目標 1.3. 国際的パートナーとの関与と協力の拡大
OSS is a public good, providing benefits for governments and private sector organizations around the world. This makes it crucial for the federal government to engage with its international partners and allies to bolster OSS security and resilience. In coordination with interagency partners, CISA will conduct engagements with international partners and allies and identify opportunities to collaborate on areas of shared interest, including the adoption of practices laid out in this roadmap.	OSSは公共財であり、世界中の政府や民間組織に利益をプロバイダとして提供している。このため連邦政府は、OSS のセキュリティとレジリエンスを強化するために、国際的なパートナーや同盟国と連携することが極めて重要である。省庁間のパートナーと連携して、CISA は国際的なパートナーや同盟国との連携を実施し、このロードマップに記載されたプラクティスの採用を含め、共通の関心分野で協力する機会を特定する。
Objective 1.4. Establish and Organize CISA’s OSS Work	目標1.4. CISAのOSS業務の確立と組織化
CISA must be organizationally structured to execute on the open source efforts described in this roadmap. To that end, CISA will increase our breadth and depth of OSS security expertise and will establish an internal CISA Open Source Software Security Working Group to coordinate CISA’s work on OSS security.	CISAは、このロードマップに記載されているオープンソースへの取り組みを実行するために、組織的に構造化されなければならない。そのため、CISA は、OSS セキュリティの専門知識の幅と深さを拡大し、CISA 内部にオープンソースソフトウェア・セキュリティ作業部会を設置して、OSS セキュリティに関する CISA の作業を調整する。
Goal 2: Drive Visibility into OSS Usage and Risks	目標2：OSSの利用状況とリスクの可視化を推進する。
To understand where CISA can best support the security of the OSS ecosystem, we must understand where the greatest dependencies lie for the federal government and critical infrastructure. To that end, CISA will identify the OSS libraries that are most used to support critical functions across the federal government and critical infrastructure. CISA will utilize this information to understand where the greatest risks lie and prioritize activities to mitigate and reduce these risks.	CISAがOSSエコシステムのセキュリティを最も支援できる分野を理解するためには、連邦政府と重要インフラにとって最も依存度の高い分野を理解する必要がある。そのため、CISAは連邦政府と重要インフラ全体の重要機能をサポートするために最も使用されているOSSライブラリを識別する。CISAはこの情報を活用して、最大のリスクがどこにあるかを理解し、これらのリスクを低減・軽減するための活動に優先順位を付ける。
Objective 2.1. Understand OSS Software Prevalence	目的2.1. OSSソフトウェアの普及状況を把握する。
CISA will develop a capability for assessing OSS software prevalence in the federal government and will engage federal and critical infrastructure partners to improve CISA’s awareness of OSS software prevalence in critical infrastructure. For the federal government, this will involve aggregating readily available data on software prevalence from existing data sources, such as CISA’s Continuous Diagnostics and Mitigation (CDM) program. For areas where data is not as readily available, such as operational technology (OT) and ICS, CISA will work to advance our capability for assessing software prevalence and underlying OSS components. The goal is to understand all software prevalence including prevalence of software that is end-of-life, end-of-support, various versions, OSS, as well as unique software that may require additional resources to secure and maintain. For critical infrastructure, CISA will work with Sector Risk Management Agencies and critical infrastructure owners and operators to identify opportunities for voluntary sharing of data.	CISAは、連邦政府におけるOSSソフトウェアの普及状況を評価する能力を開発し、連邦政府および重要インフラのパートナーを関与させて、重要インフラにおけるOSSソフトウェアの普及状況に関するCISAの認識を向上させる。連邦政府については、CISAの継続的診断・低減（CDM）プログラムなどの既存のデータソースから、ソフトウェアの普及状況に関する入手しやすいデータを集約する。運用技術（OT）や ICS など、データが入手しにくい分野については、CISA は、ソフトウェアの普及状況や OSS コンポーネントの基礎を評価する能力の向上に取り組む。その目標は、使用期限切れ、サポート終了、各種バージョン、OSSのほか、安全確保と保守に追加リソースを必要とする可能性のある固有のソフトウェアの普及を含む、すべてのソフトウェアの普及状況を把握することである。重要インフラについては、CISAは、セクター・リスクマネジメント機関および重要インフラ所有者・運営者と協力して、自主的なデータ共有の機会を特定する。
Objective 2.2. Develop a Framework for OSS Risk Prioritization	目標2.2. OSSリスク優先順位付けの枠組みを開発する。
CISA will develop a framework to conduct a risk prioritization of OSS components discovered in Objective 2.1. The framework will recommend importance criteria and prioritization factors, such as an OSS component’s level of usage, level of maintenance, build process security, and code security properties—like memory safety and. The framework will leverage existing work where possible and will be released to the public.	CISAは、目的2.1で発見されたOSS構成要素のリスク優先順位付けを実施するための枠組みを開発する。このフレームワークでは、OSSコンポーネントの使用レベル、保守レベル、ビルドプロセスのセキュリティ、コードセキュリティ特性（メモリ安全性など）などの重要度基準や優先順位付け要因を推奨する。フレームワークは、可能な限り既存の作業を活用し、一般に公開する。
The framework will identify various categorizations of OSS components, such as components that:	このフレームワークは、OSSコンポーネントの様々な分類を識別する：
•       Due to their level of usage and existing support, the federal government should directly support.	・その利用レベルと既存のサポートにより,連邦政府は直接サポートすべきである。
•       Are malicious, which the federal government should stop using; or	・悪質であり,連邦政府は使用を中止すべきである。
•       Are well supported and the government may continue using.	・十分にサポートされており,政府が使用を継続してもよい。
Objective 2.3. Conduct Risk-Informed Prioritization of OSS Projects in Federal Government and Critical Infrastructure	目的2.3. 連邦政府および重要インフラにおけるOSSプロジェクトのリスク情報に基づく優先順位付けを実施する。
CISA will apply the framework described above to the repositories identified in 2.1, generating a riskinformed prioritization of OSS dependencies in the federal government and, to the degree possible, critical infrastructure. This prioritization may group OSS dependencies into various categories, as described in Objective 2.2. CISA will use this list to ensure that the federal government’s OSS efforts focus on the most critical and relevant OSS dependencies. Additionally, CISA will leverage this prevalence list to further understand vulnerabilities present in OSS used by the federal government and critical infrastructure.	CISAは、上記のフレームワークを2.1で特定したリポジトリに適用し、連邦政府および可能な限り重要インフラにおけるOSS依存関係のリスク情報に基づく優先順位付けを行う。この優先順位付けは、目的2.2で説明するように、OSS依存性を様々なカテゴリーに分類することができる。CISAはこのリストを使用して、連邦政府のOSSへの取り組みが最も重要で関連性の高いOSS依存関係に集中するようにする。さらに、CISAはこの普及リストを活用して、連邦政府と重要インフラが使用するOSSに存在する脆弱性をさらに理解する。
Objective 2.4. Understand Threats to Critical OSS Dependencies	目標2.4. 重要なOSS依存性に対する脅威を理解する。
CISA will develop a process to continuously assess threats to critical OSS dependencies, including, when available, the prioritized list of OSS dependencies generated in 2.3. When relevant, CISA will publish alerts about targeting of key OSS dependencies.	CISAは、重要なOSS依存性に対する脅威を継続的に評価するプロセスを開発し、利用可能な場合は、2.3で作成したOSS依存性の優先順位付けリストを含む。関連する場合、CISAは、重要なOSS依存関係を標的とした警告を公表する。
Goal 3: Reduce Risks to the Federal Government	目標3：連邦政府に対するリスクの削減
This goal focuses specifically on securing the federal government’s usage of OSS. Similar to companies that responsibly engage with OSS, the federal government must establish processes to manage our usage of OSS and means of contributing back to the OSS we depend upon.	この目標は、特に連邦政府のOSS利用の安全確保に焦点を当てる。責任を持ってOSSに関与する企業と同様に、連邦政府もOSSの利用を管理するプロセスと、依存するOSSに貢献する手段を確立しなければならない。
Objective 3.1. Evaluate Solutions to Aid in Secure Usage of OSS	目標3.1. OSSの安全な利用を支援するソリューションを評価する。
CISA will evaluate the feasibility and efficacy of offering future capabilities or services to aid federal agencies in addressing gaps around managing their OSS. Such services may include tools that integrate into the continuous integration and continuous delivery (CI/CD) process to assess OSS risks (e.g., flagging vulnerable/outdated dependencies) and tools that facilitate support back to open source dependencies.	CISAは、連邦機関がOSSを管理する際のギャップに対処するのを支援する機能またはサービスを将来的に提供することの実現可能性と有効性を評価する。そのようなサービスには、継続的インテグレーションおよび継続的デリバリー（CI/CD）プロセスに統合してOSSのリスクを評価するツール（脆弱性／期限切れの依存関係にフラグを立てるなど）や、オープンソースの依存関係に戻ってサポートを促進するツールが含まれる可能性がある。
Objective 3.2. Develop Open Source Program Office Guidance For Federal Agencies.	目標 3.2. 連邦政府機関向けオープンソース・プログラム・オフィス・ガイダンスを策定する。
Open source program offices (OSPOs)[7] have emerged in industry, civil society, and academia as a way to manage an organization’s OSS operations, including supporting the responsible usage of OSS and facilitating contributions back to OSS. CISA will develop open source program office (OSPO) best practice guidance for federal agencies and other entities who wish to implement OSPOs. CISA will support federal agencies who are interested in piloting OSPOs.	オープンソース・プログラム・オフィス（OSPO）[7]は、OSS の責任ある利用を支援し、OSS への貢献を促進することを含め、組織の OSS 運用を管理する方法として、産業界、市民社会、および学界で出現している。CISAは、OSPOの導入を希望する連邦政府機関やその他の事業体のために、オープンソースプログラムオフィス（OSPO）のベストプラクティス・ガイダンスを策定する。CISAは、OSPOの試験的導入に関心を持つ連邦政府機関を支援する。
Objective 3.3. Drive Prioritization of Federal Actions in OSS Security	目標3.3. OSSセキュリティにおける連邦政府の行動の優先順位付けを推進する。
The Office of the National Cyber Director (ONCD) established the OS3I with the goal of advancing government policy and resources to foster greater OSS security. Working with ONCD and government partners, CISA will continue to contribute to OS3I to identify policies and resources that can be utilized to bolster OSS security and resilience.	国家サイバー長官室（ONCD）は、OSSセキュリティの向上を促進するために政府の政策とリソースを推進する目的でOS3Iを設立した。CISAは、ONCDおよび政府パートナーと協力して、OSSのセキュリティとレジリエンスを強化するために利用できる政策とリソースを特定するためにOS3Iに貢献し続ける。
CISA, through OS3I, will drive prioritization of federal actions that promote security and resilience within the OSS ecosystem. CISA, ONCD, the National Science Foundation (NSF), the Defense Advanced Research Projects Agency (DARPA), and the Office of Management and Budget (OMB) initiated this effort by publishing a Request for Information (RFI) on open-source software security and memory safe programming languages. Following the RFI, the authoring agencies will work to publish a report summarizing responses and identifying key areas for government action.	CISAは、OS3Iを通じて、OSSエコシステム内のセキュリティとレジリエンスを促進する連邦政府の行動の優先順位付けを推進する。CISA、ONCD、国家安全保障局（NSF）、国防高等研究計画局（DARPA）、および行政管理予算局（OMB）は、オープンソースソフトウェアのセキュリティとメモリ安全プログラミング言語に関する情報提供要請（RFI）を公表することにより、この取り組みを開始した。RFIの後、作成機関は、回答をまとめた報告書を発行し、政府が取り組むべき主要分野を特定する。
Goal 4: Harden the OSS Ecosystem	目標4：OSSエコシステムの強化
Recognizing the public-good nature of OSS and that any efforts to secure the broader OSS ecosystem will increase the security and resilience of the federal government and critical infrastructure, CISA will advance efforts to harden the broader OSS ecosystem. This effort will focus on OSS components identified in Goal 2 as being particularly critical for the federal government and critical infrastructure.	CISAは、OSSの公益的な性質と、より広範なOSSエコシステムを保護するための取り組みが連邦政府と重要インフラのセキュリティとレジリエンスを向上させることをガバナンスして、より広範なOSSエコシステムを強化する取り組みを進める。この取り組みは、ガバナンス2で連邦政府と重要インフラにとって特に重要であると識別されたOSSコンポーネントに焦点を当てる。
Objective 4.1. Continue to Advance SBOM Within OSS Supply Chains	目標4.1. OSSサプライチェーン内でSBOMを推進し続ける
Although the value of software bill of materials (SBOM) is broader than OSS, there are unique challenges to achieving comprehensive SBOM generation throughout open source supply chains. In addition to continuing its work to drive SBOM standardization, CISA will also focus on the requirements, challenges, and opportunities of automatically generating dependency data within the open source ecosystem. The broader SBOM work will continue to engage with the OSS community and CISA will propose collaborations as appropriate with stakeholders identified in the initiatives above.	ソフトウェア部品表（SBOM）の価値は OSS よりも広範であるが、オープンソース・サプライチェーン全体で包括的な SBOM 生成を達成するには、独自の課題がある。CISAは、SBOM標準化を推進する作業の継続に加えて、オープンソースのエコシステム内で依存関係データを自動的に生成するための要件、課題、機会にも焦点を当てる。より広範なSBOM作業はOSSコミュニティとの関わりを継続し、CISAは、上記の取り組みで識別された利害関係者との適切な連携を提案する。
Objective 4.2. Foster Security Education for Open Source Developers	目標 4.2. オープンソース開発者に対するセキュリティ教育を促進する。
In coordination with relevant federal agencies, including the NSF, CISA will support security education for current and future open source developers. As part of this effort, CISA, consulting with the open source community, will publish open source security toolkits that collect best practices and resources for open source security. This will include a toolkit for OSS maintainers with resources on secure software development and vulnerability disclosure,	CISA は、NSF を含む関連連邦機関と連携して、現在及び将来のオープンソース開発者向けのセ キュリティ教育を支援する。この取り組みの一環として、CISA はオープンソースコミュニティと協議しながら、オープンソースセキュリティのベストプラクティスとリソースを集めたオープンソースセキュリティツールキットを発行する。これには、安全なソフトウエア開発と脆弱性開示に関するリソースを含む、OSS メンテナ向けのツールキットが含まれる、
Objective 4.3. Publish Guidance on OSS Security Usage Best Practices	目標 4.3. OSS セキュリティ利用のベストプラクティスに関するガイダンスを公表する。
CISA will publish best practices on securely incorporating OSS for entities including federal agencies, critical infrastructure organizations, and SLTT. This will include guidance for open source consumers on how to responsibly use OSS, as well as resources to understand OSS basics, a description of how OSS contributes to critical infrastructure, and OSS security basics.	CISAは、連邦機関、重要インフラ組織、SLTTを含む事業体向けに、OSSを安全に組み込むためのベスト・プラクティスを公表する。これには、責任を持ってOSSを利用する方法に関するオープンソース利用者向けのガイダンスのほか、OSSの基本、OSSが重要インフラにどのように貢献するかの説明、OSSセキュリティの基本を理解するためのリソースを含める。
Objective 4.4. Foster OSS Vulnerability Disclosure and Response	目標 4.4. OSS 脆弱性の開示と対応の促進
CISA will continue to coordinate vulnerability disclosure and response for OSS vulnerabilities by leveraging relationships with the OSS community. This coordination may include establishing processes to specifically look for upstream issues in open source packages that critical infrastructure organizations depend on and quickly notify affected users of the identified vulnerabilities.	CISAは、OSSコミュニティとの関係を活用することにより、OSSの脆弱性の開示と対応を引き続き調整する。この調整には、重要インフラ組織が依存するオープン・ソース・パッケージの上流の問題を特に調査し、識別された脆弱性について影響を受けるユーザーに迅速に通知するプロセスを確立することも含まれる。

 

[1] Source code is the human-readable formal language that software developers use to specify the actions a computer will take.	[1] ソースコードとは、ソフトウェア開発者がコンピュータが実行する動作を指定するために使用する、人間が読める形式言語である。
[2] Synopsys. “2023 Open Source Security and Risk Analysis Report.” Last modified April 2023. https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html	[2] シノプシス。"2023 Open Source Security and Risk Analysis Report". 最終更新2023年4月。https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html
[3] Gershon, Aviad and Folkman, Tal. “‘CuteBoi’ Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users.” Checkmarx Blog. July 6, 2022. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/.	[3] Gershon, Aviad and Folkman, Tal. "「CuteBoi」がNPMユーザーに対して大規模な暗号マイニングキャンペーンを準備していることを検知". Checkmarx Blog. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/。
[4] Trend Micro Research. “How Shady Code Commits Compromise the Security of the Open-Source Ecosystem.” Trend Micro Blog. July 11, 2022. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html.	[4] Trend Micro Research. "How Shady Code Commits Compromise the Security of the Open-Source Ecosystem". トレンドマイクロブログ. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html.
[5] Tal, Liran. “What is typosquatting and how typosquatting attacks are responsible for malicious modules in npm.” Snyk Blog. January 12, 2021. https://snyk.io/blog/typosquatting-attacks/.	[5] Tal, Liran. "typosquattingとは何か、そしてtyposquatting攻撃がどのようにnpmの悪意のあるモジュールの原因となっているか". Snyk Blog. https://snyk.io/blog/typosquatting-attacks/。
[6] These types of OSS supply chain attacks are described in more detail in Ladisa et al. See Ladisa, P., Plate, H., Martinez, M., and O. Barais. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp. 167-184. doi: 10.1109/SP46215.2023.00010.	[6] これらのタイプのOSSサプライチェーン攻撃については、Ladisa et al. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp.167-184.
[7] TODO (OSPO) Group. “Open Source Program Office (OSPO) Definition and Guide.” May 31, 2023. https://github.com/todogroup/ospodefinition.org.	[7] TODO (OSPO) Group. "オープンソースプログラムオフィス（OSPO）の定義とガイド". https://github.com/todogroup/ospodefinition.org.

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.14 米国 CISA他 情報提供依頼： オープンソースソフトウェア・セキュリティ： 長期的な重点分野と優先順位付け