Core Concepts
公開ソフトウェアパッケージレジストリにおける署名の採用量と品質を測定し、その採用に影響を与える要因を明らかにした。
Abstract
本研究は、4つの主要なソフトウェアパッケージレジストリ(Maven Central、PyPI、Docker Hub、Hugging Face)における署名の採用量と品質を測定し、その採用に影響を与える要因を明らかにした。
主な結果は以下の通り:
2023年1月から12月の間、Maven Central以外のレジストリでは2%未満の成果物に署名がされていた。一方、署名を義務化しているMaven Centralでは97.1%の成果物に署名がされていた。
署名の品質については、Docker Hubが最も高く(全ての署名が有効)、次いでMaven Central(72.9%が有効)、PyPI(48.4%が有効)、Hugging Face(20.2%が有効)の順であった。
レジストリの署名ポリシーが署名の採用量に大きな影響を与えている。署名を義務化しているMaven Centralでは高い採用率を示す一方、PyPIでは署名の重要性が低下したことで採用率が低下した。
専用のツールを提供することで署名の品質が向上する。Docker Hubは専用ツールを提供しており、署名の品質が最も高かった。
一度署名を始めた維持者は、その後も継続して署名を行う傾向にある。署名を始めるのが最も難しい。
サイバー攻撃や新しい技術標準の公開などの署名関連のイベントは、署名の採用には影響を与えていない。署名の採用は、レジストリのポリシーによってより大きく左右される。
これらの結果は、ソフトウェアパッケージレジストリの管理者と署名インフラの重要性を示唆している。
Stats
2023年1月から12月の間、Maven Centralの97.1%の成果物に署名がされていた。
2023年1月から12月の間、Docker Hubの1.0%の成果物に署名がされていた。
2023年1月から12月の間、Hugging Faceの0.1%の成果物に署名がされていた。
2023年1月から12月の間、PyPIの0.2%の成果物に署名がされていた。
Maven Centralの72.9%の署名が有効であった。
PyPIの48.4%の署名が有効であった。
Hugging Faceの20.2%の署名が有効であった。
Quotes
"商用および政府のソフトウェア製品は、オープンソースのソフトウェアパッケージを組み込んでいる。"
"悪意のある行為者がソフトウェア供給網を攻撃し、パッケージに悪意のあるコードを注入して下流システムにアクセスすることを始めている。"
"ソフトウェア署名は、パッケージの信頼性を保証する最も強力な方法である。"