Reproducible Buildsプロジェクトは、フリーソフトウェア、オープンソースソフトウェアを支援するソフトウェア・フリーダム・コンサーバシー(Software Freedom Conservancy)配下で活動するプロジェクトであり、同じソースから同じバイナリが生成されることを担保することを目的として活動しています。これにより、ソースのコンパイルで脆弱性やバックドアが混入されていないことを検証することができ、オープンソースでの配布物のセキュア性を担保することができます。
同じソースから同じバイナリが生成されることを担保するため、まず、ビルドシステムを決定論的にする必要があります。例えば、ビルド時の日付や時刻を記録してはならず、出力は常に同じ順序で書き込まれる必要があります。また、ビルドを実行するために使用するビルド環境を定義することで、ユーザーがその定義された内容でビルド環境を構築できるようにします。さらに、この環境でビルドプロセスを実行し、出力が元のバイナリと一致することを検証する方法を提供することも必要です。
CIPは、Reproducible Buildsプロジェクトのスポンサーとなり、この活動を支援しています(図6)。この活動成果をCIPが提供するオープンソースベースレイヤー(OSBL)に取り込み、セキュリティリスクを低減しています。
本稿を含め、前編、中編、後編の3回にわたってCIPについてご紹介してまいりました。この「今さら聞けないCIP入門」シリーズが、少しでもCIPを活用しようとされる皆さまの役に立てば幸いです。また、CIPでの活動を広げ、さらに強化するためにも、CIPプロジェクトに参加いただける企業を募集しています。皆さまのご参加をお待ちしています。
(連載完)
hawkBit:https://www.eclipse.org/hawkbit/
SWUpdate:https://github.com/sbabic/swupdate
Software Freedom Conservancy:https://sfconservancy.org/
Reproducible Builds:https://reproducible-builds.org/
“The author thanks the International Electrotechnical Commission (IEC) for permission to reproduce Information from its International Standards. All such extracts are copyright of IEC, Geneva, Switzerland. All rights reserved. Further information on the IEC is available from www.iec.ch. IEC has no responsibility for the placement and context in which the extracts and contents are reproduced by the author, nor is IEC in any way responsible for the other content or accuracy therein.”
工藤 雅司(くどう まさし)
国内電機メーカーで20年以上にわたりUNIXサーバOSや組み込みOSの開発、ネットワーク製品開発を主導するとともに、OSS活動にも携わる。現在は、サイバートラストに勤務し、Linuxを中心とした組み込みソフトウェア技術活動に従事。CIPへはサイバートラスト代表として参画し活動中。
Copyright © ITmedia, Inc. All Rights Reserved.