ソフトウェア リポジトリ セキュリティの最も重要な点にスポットライトを当て、Open Software Security Foundation (OpenSSF) は新しいフレームワークを導入しています。 「パッケージ リポジトリ セキュリティの原則」と名付けられたこのシステムは、パッケージ リポジトリのセキュリティ能力を精査する上で中心的な役割を果たします。この取り組みの目的は、評価を行うだけでなく、将来の機能強化に向けたロードマップを強化することでもあります。
このミッションは、OpenSSF のセキュリティ ソフトウェア リポジトリ ワーキング グループとサイバーセキュリティ & インフラストラクチャ セキュリティ庁 (CISA) との共同事業です。昨年、CISA はオープンソース ソフトウェア セキュリティ ロードマップを発表しました。このロードマップでは、パッケージ マネージャーのセキュリティが主要な関心と議論のポイントでした。
最近導入されたフレームワークは、セキュリティ成熟度の 4 つの段階を定めており、4 つの基本的な機能カテゴリにまたがっています。これらのカルテット カテゴリは、認証、認可、一般的な機能、およびコマンド ライン インターフェイス ツールをカプセル化します。
OpenSSF は、パッケージ リポジトリがオープンソース エコシステム内で重要な分岐点となり、攻撃を可能にするか回避するかにおいて決定的な役割を果たすことを強調しています。明確に説明されたアカウント回復ガイドラインなど、シンプルだが強力な戦略は、セキュリティに大きなプラスの影響を与える可能性があります。
こうした改善の必要性にもかかわらず、特にパッケージ リポジトリの場合、リソース制限とのバランスを取ることが重要です。 OpenSSF が指摘しているように、多くのリポジトリが非営利団体によって管理されているという事実により、この考慮事項はさらに重要になります。
このフレームワークの登場により、パッケージ リポジトリのペースが加速することが予想されます。これらの施設は、自社のサービス内でセキュリティの大幅な向上を推進できるようになります。この意見は、CISA のシニア テクニカル アドバイザーである Jack Cable とGitHubの主任エンジニアである Zach Steindler も共有のブログ投稿で同様の意見を述べています。
同様の勢いで、 AppMasterのノーコード プラットフォームは、ユーザーのアプリケーションのセキュリティとスケーラビリティを保証します。 AppMasterプラットフォームは、トップのno-codeプラットフォームの 1 つとして機能し、セキュリティの重要性を強調すると同時に、さまざまなプラットフォーム向けの堅牢なアプリケーションの作成を可能にします。
