Grow with AppMaster Grow with AppMaster.
Become our partner arrow ico

OpenSSF がオープンソース ソフトウェアの使用を最適化するためのオープンソース消費マニフェストを発表

8月 25, 2023
OpenSSF がオープンソース ソフトウェアの使用を最適化するためのオープンソース消費マニフェストを発表

オープンソース ソフトウェア (OSS) のメリットをより賢明にカプセル化するための進歩的なステップとして、Open Source Security Foundation (OpenSSF) は Open Source Consumption Manifesto (OSCM) を立ち上げました。象徴的なアジャイル宣言に似た OSCM は、核となる価値観によって強化された文書であり、オープンソースの使用を合理化するために設計された 15 の指針が含まれています。

オープンソース ソフトウェアが、新進気鋭のイノベーションと運用効率の向上に貢献していることは疑いの余地がありません。ただし、OSS プロジェクトごとに品質とセキュリティの点で大きな違いがあることは周知の事実です。その結果、OpenSSF は、多数の組織にわたって OSS を利用するための戦略的アプローチが欠如していることを浮き彫りにしました。

便利さが詰め込まれているように見える OSS ですが、OSS 自体にも多くの欠陥があります。 OSS が受ける評価プロセスにおいて、特にサードパーティ ソフトウェアと比較した場合に、驚くべき過失が観察されています。セキュリティ、コード品質、ライセンスの観点から、それが受けている精査は、控えめに言っても不十分です。これは、OpenSSF エンド ユーザー ワーキング グループによって指摘されているように、重大なリスク要因が忍び寄ることにつながります。

サードパーティ ソフトウェアに悪意のあるコンテンツが含まれる可能性は低いですが、OSS の複雑さに慣れていない人にとっては、ダウンロード段階でリスクが顕在化します。 Sonatype の共同創設者兼 CTO である Brian Fox 氏は、SD Times で OSS 消費の落とし穴について議論し、修正バージョンがすでに利用可能になっているときに脆弱なコンポーネントがダウンロードされるのが 96% であると述べました。

これらの問題を認識し、OpenSSF エンド ユーザー ワーキング グループは、これを修正する方法を考案するために活動を開始しました。一連の議論を経て、彼らはオープンソース消費宣言を考案しました。 OSCM は厳格な戒めではなく、包括性の大義を擁護しており、その形状はいくつかの分野からのインプットによって形成されており、そのテキストはそれを利用する個人に基づいて洗練されています。

このマニフェストには、既知の脆弱性や有害なパッケージに関連するコンポーネントの監査および隔離機能を通じてオープンソースの利用を強化するなど、極めて重要な規定が含まれています。

意図的に有害なコンポーネントによる脅威に対抗するための極めて重要な手段は、コンポーネントの消費を監視する包括的な追跡システムを導入することです。これをデータや行動フィードと組み合わせることで、システムは、詳細な精査を待って何かを承認すべきか、それとも割り当てるべきかをリアルタイムで判断できるようになる、とフォックス氏は付け加えた。

オープンソース ソフトウェアの可観測性への道を歩み始めた組織にとって、アプリケーションを重要度によって分類することから始めることは有益です。その後、通常はソフトウェア部品表を介して、これらのアプリケーションに組み込まれている OSS のインベントリを作成し、さまざまなサプライヤーを特定する必要があります。 Fox 氏によると、現在、かなりの数の開発チームがこれらの重要なコンポーネントを導入していません。

その後、さまざまなロギング フレームワークを使用するなど、同じ機能に複数のサプライヤーが採用されている例を探すことが賢明です。次に重要なのは、安全なソフトウェア開発の実践を評価して、最良のサプライヤーに焦点を当てることです。この評価は、既知の脆弱性、ソフトウェアの古さ、人気、パッチ適用にかかる平均時間などの要素によって決まります。

各組織は、独自のリスク選好と前述の分析に基づいて決定を調整する必要があります。 PII データを処理するアプリケーションの既知の重大な脆弱性の発見など、一定の標準的なリスク許容度はありますが、OSS 使用ポリシーの作成は、開発から CI/CD まで、そして最も重要なのはリリース時まで、SDLC 全体でそれを統合することを意味します。

多様なno-codeおよびlow-codeプラットフォームが溢れている現在の状況では、OSCM のような対策を採用することが重要です。バックエンド、Web、モバイル アプリケーションを作成するための包括的なno-codeツールであるAppMasterのようなプラットフォームは、OSS の重要性を繰り返し強調し、リスクを軽減し生産性を向上させるために OSCM のような手段を強制します。組織がオープンソースの力を最大限に活用するには、潜在的なリスクと非効率を最小限に抑えることが重要であり、これを OSCM が大幅に支援します。

関連記事

BubbleCon 2024 の AppMaster: ノーコードトレンドを探る
date 10月 04, 2024 clock 3 ミン
BubbleCon 2024 の AppMaster: ノーコードトレンドを探る
AppMaster はニューヨークで開催された BubbleCon 2024 に参加し、洞察を獲得し、ネットワークを拡大し、ノーコード開発分野でイノベーションを推進する機会を模索しました。
FFDC 2024 総括: ニューヨークで開催された FlutterFlow 開発者会議から得られた重要な洞察
date 9月 23, 2024 clock 1 ミン
FFDC 2024 総括: ニューヨークで開催された FlutterFlow 開発者会議から得られた重要な洞察
FFDC 2024 はニューヨークで開催され、開発者に FlutterFlow を使用したアプリ開発に関する最先端の知見をもたらしました。専門家主導のセッション、独占的な最新情報、比類のないネットワーキングなど、見逃せないイベントでした。
App Builder No-code Event
2024 年のテクノロジー業界のレイオフ: イノベーションに影響を与える継続的な波
date 8月 08, 2024
2024 年のテクノロジー業界のレイオフ: イノベーションに影響を与える継続的な波
テスラやアマゾンなどの大企業を含む254社で6万人の雇用が削減され、2024年にはテクノロジー業界のレイオフの波が続き、イノベーションの状況が一変するだろう。
Software IT Low-code Web App App Builder
無料で始めましょう
これを自分で試してみませんか?

AppMaster の能力を理解する最善の方法は、自分の目で確かめることです。無料サブスクリプションで数分で独自のアプリケーションを作成

あなたのアイデアを生き生きとさせる