ソフトウェアのコンポーネントは、アプリケーション開発の重要な要素だ。今では、アプリケーションの中心的機能はデベロッパ自身が書くよりも既製のコンポーネントを使うことが圧倒的に多く、それらは何千ものソースから提供されている。でもそれは、損壊や改悪の被害に遭うことがある。たとえば昨年の夏には、中国のハッカーがStrutsの脆弱性を悪用した。StrutsはJavaでWebアプリケーションを作るためのオープンソースのフレームワークだが、長年その開発とメンテナンスを担当してきたApache Foundationは最近、それを手離すと発表した。今後サポートを引き継ぐところが現れなければ、このフレームワークの寿命は尽きたことになる。
こういった問題をなくすために、Sonatypeは同社のコンポーネントライフサイクル管理(CLM)技術をアップデートして、デベロッパが悪質なオープンソースのコンポーネントを使うことを防ごうとしている。粗悪なコンポーネントは、携帯電話にも、車にも、心臓のモニタにも、何にでも使われる可能性があるのだ。Sonatypeの技術は、コンポーネントの品質をソフトウェアのデベロッパに対して保証するために、一連のポリシーの強制過程を自動化する。
Sonatypeを利用すると、ソフトウェアの欠陥がそのソフトウェアの開発ライフサイクルの中で強制的に修復され、Strutsがハックされたときに露呈したような欠陥が、もっと早めに見つかるようになる。
ニューバージョンに導入された新しい機能として、デベロッパに対する通知項目の目録がある。それらは、セキュリティのリスク、古い版を使っている、ライセンスを更新していない、などなどの問題点のリストだ。使っているコンポーネントを、より安全なバージョンにリプレースさせる機能もある。CEOのWayne Jacksonは、とりわけ重要なのは、ソフトウェアに統合されているコンポーネントを同定する能力だ、と言っている(何の何版が使われているか…)。
Sonatypeはまた、著名なセキュリティエキスパートJosh CormanをCTOに迎えた、と発表した。Cormanはこれまで、451 ResearchやAkamai、IBMなどで仕事をしてきた人物だが、Sonatypeでは彼の得意分野である防御的インフラストラクチャや、アプリケーションのセキュリティ、物のインターネット(IoT)における脆弱性潰しなどが役に立つだろう、と言っている。“接続”が普遍的なキーワードとなっている今日の世界では、予防的防御的アプローチがますます重要になる。あらゆるものがあらゆるものと接続されているコンピューティングとネットワーキングの世界では、そういうすべての接続先を管理し制御することは不可能だからだ。しかもITの成長の速度に、セキュリティ技術の進歩が追いついていない。彼は最近(12月)のTEDの講演でも、この点を指摘している:
オープンソースのソフトウェアコンポーネントにも危険が潜んでいる、というと、要らざるFUDをまき散らすことになるだろうか? そんなことはない。むしろそれは、危機が生じてから対応するというこれまでの姿勢を、前もってセキュリティの脆弱性の悪用を予防しておくという、ディフェンシブな姿勢および考え方に、変えていくだろう。
[画像: Shutterstock]
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))