OSS利用者の意思決定を支援するソースコード開発におけるセキュリティリスクの定義と可視化

昨今では， OSS に対して悪意のある第三者が不正に管理者権限を奪取し悪意のあるコードが挿入される事案や， OSS に残存する脆弱性に起因したセキュリティ事故の事案が発生している．このため，ソースコード開発過程のリスクを管理・可視化するために OpenSSF の S2C2F やセキュリティスコアカードといったフレームワークやツールが開発されている．しかし， S2SC2F はソースコード開発過程でリスクが生じる原因の整理が不十分であり，セキュリティスコアカードは OSS 開発者による協力を前提としている点で OSS の利用者向けのリスクの可視化が不十分である．本稿では，ソースコード開発過程に潜むリスクをそれが生じる原因の観点から定義し，OSSの利用者向けにこれらのリスクを可視化する eSBOM と意思決定を支援するためのツールである SCMV を提案・実装した．そして，2022年7月時点の npm パッケージ 3000 個のデータセットを使用し，リスクの存在を SCMV を利用して検証した．これらの評価の結果，本稿で定義したリスクがソースコード開発過内の脅威を包括的にカバーされ，定義が有効である事を確認した．

Recent security incidents have highlighted the risks of malicious code in Open Source Software (OSS) through unauthorized access and vulnerabilities. Frameworks such as S2C2F and tools such as security scorecards have been developed to manage and visualize these risks. However, they have the following limitations: S2C2F does not fully address the root causes of risk in the Source Code development process, while Security Scorecards rely on the cooperation of OSS developers, limiting their effectiveness for users. This paper defines risks in the source code development process in terms of their causes, and proposes and implements eSBOM which visualizes these risks for OSS users, and SCMV which is a tool to support decision-making for OSS users. Using a dataset of 3,000 NPM packages from July 2022, this paper validates the existence of these risks and confirms that the proposed risk definitions are comprehensive and valid in covering threats in the Source Code development process.