This article is about the OpenChain Security Assurance Specification 1.1.
はじめに
OpenChain Japan WGの浅羽 鉄平です。Japan WGでは初期から活動していますが、Advent Calendarの参加は初めてだったりします。さらに最近はアクティブな活動ができていなかったので、今回の記事をきっかけに何か貢献できればと思っています。
OpenChain Security Assurance Specificationとは
OpenChainプロジェクトは、OSSのライセンス コンプライスの国際標準であるOpenChain ISO/IEC 5230:2020をメンテナンスしています。
これは、OSSのライセンス コンプライアンスを遵守する上で必要なプロセスを規定したもので2020年12月15日にリリースされました。
この延長でOSSのセキュリティのアシュアランスのプロセスを規定したOpenChain Security Assurance Specification 1.1が2022年12月14日にリリースされました。
OSSのセキュリティ向上に取り組むプロジェクトとしては、OpenChainと同じLinux Foundation傘下のOpenSSFもありますが、OpenSSFはOSSそのもののセキュリティ向上を目的にセキュリティの専門家をOSSコミュニティへ派遣したり、ツールをOSSコミュニティに提供するなど仕組み作りに取り組むプロジェクト、OpenChain Security Assurance SpecificationはOSSを利用する上で意識すべきポイントを体系化したものというのが私の理解です。
OpenChain Security Assurance Specificationの概要
OpenChain Security Assurance Specificationは、GitHubで公開されています。
OpenChain Security Assurance Specification (以下、本仕様)は、3章から構成されています。
1章は、Scope、本仕様の範囲について
2章は、Terms, Definitions and Examples、本仕様の用語の定義について
3章は、Requirements、本仕様の本体で、要件が項目毎に記されていて、ここだけ節・項と細分化されています。
3章の節・項をそれぞれざっくり読んでいきましょう。
3.1 - Program Foundation
3.1節には下記の項目があります。
- Policy
- Competence
- Awareness
- Program Scope
- Standard Practice Implementation
OpenChain ISO/IEC 5230:2020を理解されている人ならお馴染みの「プログラムの基盤」について、OSSのセキュリティ保証のポリシーや組織内での役割・責任、メンバーが理解しているかの確認などの文書化する内容について規定しています。
3.2 - Relevant Tasks Defined And Supported
3.2節には下記の項目があります。
- Access
- Effectively Resourced
ここもOpenChain ISO/IEC 5230:2020と同様に「関連業務の定義と支援」について、外部からの問い合わせ窓口が定義されているか、十分なリソースが割り当てられているかなどの内容について規定されています。
3.3 - Open Source Software Content Review And Approval
3.3節には下記の項目があります。
- Software Bill of Materials (SBOM)
- Security Assurance
この節では、「OSSコンテンツのレビューと承認」について規定され、注目のSBOMがここで登場します。
SBOMの作成と継続的なメンテナンスを行うためのプロセスについて、脆弱性の検出から影響の特定、影響に応じたアクションなどの内容について規定されています。
3.4 - Adherence To The Guideline Requirements
3.4節には下記の項目があります。
- Completeness
- Duration
ここもOpenChain ISO/IEC 5230:2020と同様に「仕様要件への遵守」について、要件を満たしていることを確認する文書や規定期間毎に確認できているかを規定しています。
規定されている期間は、OpenChain ISO/IEC 5230:2020とは異なり、2回目の確認は18ヶ月、3回目は2回目から24か月、その後は36ヶ月毎です。
OpenChain Security Assurance Specificationのチェックリスト
OpenChain Security Assurance Specificationの自己認証のチェックリストも併せてリリースされています。
これは、本仕様の3章の項の下3.x.y.zのzに記載されたVerification Material(s)、要はエビデンスをリスト化したもので、仕様の概要をざっくり把握するには、このチェックリストを眺めた方が早いかもしれません。
さいごに
OpenChain Security Assurance Specificationのリリースは下記です。
クォートしているのは、中国、台湾、ドイツ、英国と米国のパートナーです。
また、2022年12月14日時点でリリースされているのは、英語版、ドイツ語版と中国語 (簡体)版です。
日本のサプライチェーンに浸透させるには日本語版も欲しいですね。
OpenChain, SPDX, OpenSSFやOSPOがスパイラルに絡み、やりたいことがたくさんあり過ぎる昨今ですが、私の貢献ネタが見つかった気がするので、本記事はこれで締めたいと思います。
Merry Christmas and Happy New Year!