Assured Open Source Software

Assured Open Source Softwareってなんでしょう。
文字通り、安心できるオープンソースソフトウェアです、という話です。

オープンソースとして提供されるソフトウェアに脆弱性がある、とか、有益なオープンソースのソフトウェアがいつのまにかメンテナーが変わっていて悪意あるコードが含まれるようになっていてバージョンアップしたら悪意あるコードを含む状態になってしまった、とか、厳しい問題に直面することがあります。
そう、いわゆるソフトウェアサプライチェーン問題です。
これに真っ向から立ち向かおうというサービスが立ちあげられました。
Googleが発表したAssured Open Source Softwareです。

現時点で、こういう感じです。

• 対象言語
  現時点ではJavaとPythonが対象になっています。
• 信頼できるリポジトリを提供する
  通常その言語で利用されるリポジトリではなく、新規でリポジトリを立ち上げました。
• Assured SBOM
  Assured Open Source Softwareには安心できるSBOMを含みます。
  SBOMはSoftware Bill of Materialsです。
  特定ソフトウェアを構成するオープンソースソフトウェアやプロプライエタリソフトウェアのコンポーネントや依存関係、ライセンス情報をすべて記載したものです。
• 検査してくれる
  Assured Open Source
  Softwareに収容されたパッケージに対して、Googleは新しい脆弱性を積極的にスキャン、検出、修正し、リスクの軽減を試みます。
• 署名を使える
  Assured Open Source Softwareのリポジトリから入手するものについて、署名情報が利用できます。
  そのため、入手したものが改ざんされていないことが確信できます。

素晴らしいサービスです。
もちろん利用には一定の手間が必要ですし、まだ収容されているソフトウェアもそこまで多くありませんので、使用したいソフトウェアモジュールを全部ここから入手するということはできないかもしれません。
しかし一般のリポジトリをセカンダリとして利用することもできますし、収容されるソフトウェアは時間の経過とともに増えていくことと思います。

この仕組みは2022年10月からパブリックプレビューとして発表され、その後一部範囲で公開されて利用が開始されていました。
それが最近一般公開となりました。

こういったものがもっと広がって、ソフトウェアサプライチェーン問題が小さくなっていくことを願います。

参考記事（外部リンク）：Google Cloud Assured Open Source Software service is now generally available
cloud.google.com/blog/products/identity-security/google-cloud-assured-open-source-software-service-now-ga?hl=en