連載
» 2019年11月18日 10時00分 公開

CIPが取り組む産業基盤でのセキュリティ対策いまさら聞けないCIP入門(後編)(3/3 ページ)

[工藤雅司(サイバートラスト),MONOist]
前のページへ 1|2|3       

Reproducible Buildsプロジェクト

 Reproducible Buildsプロジェクトは、フリーソフトウェア、オープンソースソフトウェアを支援するソフトウェア・フリーダム・コンサーバシー(Software Freedom Conservancy)配下で活動するプロジェクトであり、同じソースから同じバイナリが生成されることを担保することを目的として活動しています。これにより、ソースのコンパイルで脆弱性やバックドアが混入されていないことを検証することができ、オープンソースでの配布物のセキュア性を担保することができます。

 同じソースから同じバイナリが生成されることを担保するため、まず、ビルドシステムを決定論的にする必要があります。例えば、ビルド時の日付や時刻を記録してはならず、出力は常に同じ順序で書き込まれる必要があります。また、ビルドを実行するために使用するビルド環境を定義することで、ユーザーがその定義された内容でビルド環境を構築できるようにします。さらに、この環境でビルドプロセスを実行し、出力が元のバイナリと一致することを検証する方法を提供することも必要です。

 CIPは、Reproducible Buildsプロジェクトのスポンサーとなり、この活動を支援しています(図6)。この活動成果をCIPが提供するオープンソースベースレイヤー(OSBL)に取り込み、セキュリティリスクを低減しています。

図6 図6 CIPとReproducible Buildsとの関係(クリックで拡大) 出典:Open Source Summit Europe 2018での小林良岳氏、Urs Gleim氏講演「Two Years Experience of Industrial-grade Open Source Base Layer Development and its Future」に基づき作成


 本稿を含め、前編、中編、後編の3回にわたってCIPについてご紹介してまいりました。この「今さら聞けないCIP入門」シリーズが、少しでもCIPを活用しようとされる皆さまの役に立てば幸いです。また、CIPでの活動を広げ、さらに強化するためにも、CIPプロジェクトに参加いただける企業を募集しています。皆さまのご参加をお待ちしています。

CIPのWebサイトへのリンク CIP(Civil Infrastructure Platform)のWebサイト(クリックでWebサイト移動)

(連載完)

参考

hawkBit:https://www.eclipse.org/hawkbit/

SWUpdate:https://github.com/sbabic/swupdate

Software Freedom Conservancy:https://sfconservancy.org/

Reproducible Builds:https://reproducible-builds.org/

謝辞

“The author thanks the International Electrotechnical Commission (IEC) for permission to reproduce Information from its International Standards. All such extracts are copyright of IEC, Geneva, Switzerland. All rights reserved. Further information on the IEC is available from www.iec.ch. IEC has no responsibility for the placement and context in which the extracts and contents are reproduced by the author, nor is IEC in any way responsible for the other content or accuracy therein.”

筆者プロフィール

photo

工藤 雅司(くどう まさし)

国内電機メーカーで20年以上にわたりUNIXサーバOSや組み込みOSの開発、ネットワーク製品開発を主導するとともに、OSS活動にも携わる。現在は、サイバートラストに勤務し、Linuxを中心とした組み込みソフトウェア技術活動に従事。CIPへはサイバートラスト代表として参画し活動中。

サイバートラスト
https://www.cybertrust.co.jp/

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.