1Password(ワンパスワード)は、同社のサービスにおいて基盤となるセキュリティーコンポーネントを担うオープンソースプロジェクトへの支援の一環として、Rustで実装された「Noise Protocol Framework」ライブラリーである「Snow」の独立したセキュリティー評価を実施し、その結果を公開した。今回の取り組みは、オープンソースエコシステムの透明性を高め、開発コミュニティー全体での安全性向上を目的としている。
セキュリティー評価はTrail of Bits社によって4週間のエンジニア工数をかけて実施され、手動のコード検査と自動テストが組み合わされた。この監査により、中程度の脆弱性1件、低程度の脆弱性1件、および8件の技術的知見(Informational)の計10件の指摘事項が報告された。特に重大な脆弱性としては、暗号化通信チャネルを永続的に切断可能なナンス(nonce)の処理に関する不具合や、無効な事前共有鍵(PSK)インデックスによってシステムがパニック(強制終了)状態に陥る可能性がある点などが挙げられた。
指摘された10件の事項のうち、中程度の脆弱性やPSKに関連するパニック、メッセージ長の検証不備を含む8件については、SnowのメンテナーであるJake McGinty氏との協力のもと、Trail of Bitsによる修正の検証が完了している。残りの2件の知見については、ライブラリのセキュリティー保証には直接的な影響を与えないものとして検討が継続されている。
1Passwordは、今回の資金提供やプルリクエストを通じた貢献を、責任ある開示および共同セキュリティー研究への取り組みの一環と位置付けている。評価レポートは完全に公開されており、Rust言語でNoise Protocol Frameworkを導入している開発者やセキュリティー担当者に対し、コードのレビューや自身のプロジェクトでの活用を通じてエコシステムの強化に参加するよう呼びかけている。
出典:1Password
この製品の詳細については、1Password製品ページをご覧ください。
