Linux は、その汎用性、パワー、スピードから、ますます多くのプログラマに信頼されるようになっています。他の開発プラットフォームと異なり、組込み開発者が最も細かいビルディングブロックのコンポーネントへの自由なアクセスを可能にします。プログラマは、自分の好みや特定の用途に合わせて、何でもカスタマイズすることができます。これらの特徴により、迅速な改良や反復を望む開発者にとって特に魅力的なツールとなっています。
しかし、Linuxは高速でパワフルだからといって、脆弱性がないわけではありません。組込み機器が使用されるようになると、未知のセキュリティホールやバグという深刻な問題が発生します。共通脆弱性識別子(CVE)に対応するには、最新のデータ、時間、正確さが重要であり、影響度を理解することが不可欠となります。
Linux Foundationによると、フリー/オープンソースソフトウェア(FOSS)は最新のソフトウェアソリューションの70%から90%を占めていると推定されています。
セキュリティのベストプラクティスは、すべてのコンポーネントの有用性、信頼性、脆弱性を積極的かつ定期的に監視することを規定しています。責任あるセキュリティ対策において最も重要なことは、終わりのないプロセスであること。つまり、常に進化、改善し続ける必要があるということです。
しかし、多くの企業ではそれが出来ていません。Open SF Foundationによると、50%の企業がセキュリティポリシーを持っているが、30%が持っておらず、17%が持っているかどうかわからないと回答しています。
以下の脆弱性管理のライフサイクルは、安全な組込みLinuxプラットフォームへの道につながります。
・ソフトウェア資産の評価、スキャン、および調査結果の報告
・脆弱性のリスクを評価し、影響の有り得る攻撃を考慮したCVEの優先順位の決定
・特定されたリスクの是正、軽減、または受容するための行動計画の実行
・CVEの再評価と行動計画が望ましい結果をもたらしたかどうかを検証するための再スキャン
・成功の判定に使用していた指標の評価と、セキュリティプロセスのアップデート、それらを改善するための SLA の更新。改善に影響を与える根本的な問題の排除
・改善点に合わせた作業のやり直しと修正の繰り返し
企業は、脆弱性管理のライフサイクルの各段階で警戒を怠らず、影響を把握し、ユーザに勧告して企業の対応策を説明するCSIRT(コンピュータセキュリティインシデント対応チーム)を設置する必要があります。
プラットフォームの安定性を確保し維持するためには、社内で実装するか、パートナーによって管理される強固なCI/CDパイプラインが必要です。このパイプラインは、CVE修正の定期的なスモークテストを組み込んで、継続的なテストを実行する必要があります。CVE修正のコーディングに特化したパイプラインは、選択した修正を組込みLinuxとすべてのソリューション層に統合される必要があります。また、求められているアーキテクチャの自動化、テストの自動化、パートナーや組織内でテストをレビューし、これらのコンポーネントを企業が使用するレポに統合する必要があります。
開発チームがCVE修正をパイプラインに統合したら、オープンソースの自動化サーバとCSIRTにより、CVEが修復されたことを示す関連情報を企業とユーザに開示できることを確認する必要があります。
セキュアなLinuxプラットフォームの実現をご検討されている方、また、より詳細な情報を希望される方は、ウインドリバーのウェビナー「Path to Secure Linux Platforms」を是非ご覧ください。このウェビナーでは、脆弱性管理のライフサイクルの各ステップについてご紹介しています。さらに詳しい情報については、ウインドリバーまでお問い合わせください。