「皆さんには、米国人が依存する重要なサービスや技術のサイバーセキュリティとレジリエンスを強化する力、能力、そして責任があります。現代の決定的な脅威の 1 つに対処するために、すべての人がそれぞれの役割を果たす必要があります。」
バイデン大統領は、米国のサイバーセキュリティに関する最近の声明で、そう述べています。この声明は、現在進行中のウクライナ紛争に対応して米国がロシアに課した経済制裁を受けて、官民を問わず技術部門に携わる人々が、ロシアの悪質なサイバー活動の可能性に警告を発するために出されたものです。この脅威と並行して、オープンソース コミュニティでは、もともとロシアやベラルーシの IP アドレスを持つユーザーに害を及ぼすことを目的とした悪質なコードを含むパッケージ「peacenotwar」が導入されています。サイバー兵器の実地試験と合わせて考えると、このようなプロテストウェアの使用は、悪意のある者によって悪用される可能性があるということを証明しています。サイバーセキュリティ兵器の拡散は歴史的なパターンであり、今後数年間で攻撃が加速する可能性を示しています。
マルウェアの真の脅威は、制御や予測がほぼ不可能であるため、様々な業界の技術スタックの基礎となっているフリー オープンソース ソフトウェア (FOSS) に対する脅威となっています。デジタル領域を保護し、オープンソースの持つ手頃な価格、柔軟性、無限の技術的進歩の機会を維持するために、企業はこれまで以上にセキュリティを重視しなければなりません。そして、この強化の動きを支えるために、テクノロジーやオープンソースの分野で、より高度なセキュリティ機能を自社製品に組み込むリソースを持つ企業には、そうする責任があるのです。
Anaconda は、Conda Signature Verification や CVE Curation などの製品リリースからもわかるように、常にセキュリティへのコミットメントを維持してきました。また、データ サイエンスのソート リーダーとしての役割を活用し、オープンソース セキュリティの重要性とそのアプローチ方法について議論してきました。しかし、前述のような世界情勢を受け、より安全で、より優れたセキュリティを、より早くという要求が国を挙げて高まっており、Anaconda はその要求に応えようとしています。ここでは、現在のサイバーセキュリティの脅威の中で、Anaconda の製品とサービスを強化し、商用ユーザーを保護するために、Anaconda が行っている方法をいくつかご紹介します。
クラウドベースのソリューションへの強化
Anaconda は先日、Anaconda Business を発表しました。これは、企業がソースにおけるオープンソースの脆弱性リスクを低減し、オープンソース ライセンスのコンプライアンスを確保し、チーム全体で使用するための、承認済みのパッケージにアクセスし配布することができる、新しいクラウドベースのサービスです。より多くのお客様がクラウド上でオープンソースのパイプラインを保護できるよう、Anaconda の精選された高忠実度のセキュリティ情報へのアクセスを拡大できることを嬉しく思っています。
オープンソース プロジェクトを高度な脆弱性スキャナへ転換
依存関係とそれが推移的にもたらす可能性のある変更に関する情報を収集することは、特定の依存関係が使用する上で「安全」であるかどうかをチームが決定するのに役立つことがあります。Anaconda では、スコアカードや deps.dev のようなツールを構築して、ユーザーがリスクと対応する推移的な変更を査定するために依存関係を評価できるようにしています。
CVE キュレーションに、より多くのリソースを投入
このバイデン政権のファクト シートでは、企業は “システムがすべての既知の脆弱性に対してパッチを適用し、保護されていることを確認する” よう奨励されています。Anaconda は CVE キュレーションを通じて顧客が脆弱性を特定し、管理することを支援し続けています。
実用的で忠実度の高いセキュリティ レポートを作成するためにオープンソースの CVE をキュレーションすることは時間のかかる努力ですが、おそらくこのサービスが豊富に提供されていない理由でもありますが、Anaconda はこれが最も重要であると考えています。そのため、我々の顧客ベースのオープンソースの継続的な使用をサポートするために、人間の CVE キュレーションを提供しています。Anaconda のキュレーション チームは、NVD によってレポートされた CVE を持つフラグ付きパッケージをレビューし、CVE ステータスとスコアをキュレーションし、CVE を更新して、最新バージョンにパッチが適用されて安全に使用できることをユーザーに通知します。
ツールやサービスの SBOM (Software Bills of Materials) を生成
Anaconda は、進化するセキュリティ標準と、機密環境でのオープンソースの使用に関するベスト プラクティスに従って、顧客のために SBOM を生成します。Software Package Data Exchange (SPDX) 仕様に従って構築された Anaconda の SBOM は、ソフトウェア コンポーネントへの可視性を提供し、潜在的なリスク要因の認識と問題が発生した場合の迅速な反応時間を促進するため重要です。
ネットワークにゼロ トラスト アプローチを採用
私たちのチームは Anaconda のインフラとビルド プロセスを保護するために懸命に働いています。Conda Signature Verification (エンドツーエンドの信頼性連鎖トークン) は既に、私達のプロフェッショナル リポジトリからインストールされたパッケージがAnaconda の安全なビルド ネットワークでビルドされた通りであることをユーザーが検証できるようにしていますが、同時にリモート ファーストの文化も採用してきました。パッケージのビルドとインフラのチームが分散した場所で規模を拡大するにつれ、パッケージの開始とパッケージのインストールの間の人間のタッチポイントの数を合理化するために、追加のリソースを投資しています。
さらに、ISO27001 の認定が今後数ヶ月のうちに Anaconda にもたらされる予定です。
無料セキュリティ相談会を開催
期間限定で、Anaconda は 30 分間の無料セキュリティ コンサルティングを提供しています。この専門家によるコンサルテーションには、事前調査の後、組織の現状分析、セキュリティのベスト プラクティスの概要、ベスト プラクティスに沿った次のステップの提案などが含まれます。
国家のデジタルな利益を保護し、オープンソース イノベーションへのアクセスを維持するためにサイバーセキュリティをより強化させることは簡単なことではありませんが、Anaconda はそれを実現するために顧客と協力し続けるつもりです。オープンソースの脆弱性と技術部門の脅威を取り巻く複雑な迷路のように感じられるかもしれませんが、Anaconda は我々のコミュニティ全体の利益のために、我々の製品とサービスにシンプルさ、容易さ、そしてもちろんセキュリティを吹き込むことに引き続き尽力しています。進化するサイバーセキュリティの展望に適応し続けるために、私たちのブログでさらなるニュースをお見逃しなく。
参照記事: How Anaconda Is Rallying to Protect Commercial Users From Cybersecurity Threats
