デジタルセキュリティが最重要視される時代において、欧州連合(EU)は、欧州連合サイバーレジリエンス法(CRA)の導入により、サイバーセキュリティ法制の改善に取り組んでいます。欧州連合が CRA を採択した現在、Qt Groupでは、当社製品の CRA 準拠に向けた取り組みを継続し、お客様の準拠をサポートします。
長期サポート (LTS) リリースの変更
CRAの重要な側面の1つは、製品のライフサイクル全体を通じて、ベンダーが顧客にセキュリティアップデートを提供することを義務付けていることです。Qt Groupは、顧客のニーズにより良く応えるため、最近発表したとおり、Qt 6.8から長期サポート (LTS) リリースを3年から5年に変更する予定です。
Qt フレームワークでは、標準リリースと LTS リリースを区別しており、それぞれのリリースには、異なるプロジェクトのニーズに対応するために、それぞれに合わせたサポート期間が設定されています。標準リリースは、1年間にわたってバグ修正とセキュリティメンテナンスアップデートリリースがサポートされます。これに対して、LTSリリースは、一般的にQt 6.8以降の4つおきのマイナーバージョンであり、5年間延長サポートとメンテナンスリリースが提供されます。LTSバージョンは、より長い期間にわたって安定性と安全性の高い基盤を必要とするプロジェクトに特に有益です。さらに、標準サポートが終了した旧バージョンのQtを使用している顧客プロジェクト向けに、拡張セキュリティメンテナンス (ESM) を提供しています。
セキュリティと脆弱性の対応
CRAのもう一つの重要な要素は、脆弱性の対応要件に重点を置いていることです。この法律では、「積極的に悪用された脆弱性」について明記されており、これは「悪意のある行為者がシステム所有者の許可なくシステムで悪用したという信頼できる証拠がある脆弱性」と定義されています。
セキュリティをより向上させ、法的要件を遵守するために、Qt Groupは、サポート条項の第7項で説明されているように、Qtフレームワークのプロトコルと実務の堅牢性をさらに強化しました。報告された問題は、識別後、真のセキュリティ上の脅威であるかどうかを判断するために評価されます。確認されたセキュリティ上の問題は、問題の深刻度に応じて対応の緊急度を決定し、速やかに修正されます。セキュリティ問題がサードパーティライブラリに起因する場合は、Qt Groupが主導して関係者に通知し、Qtソフトウェアの次のメンテナンスリリースで解決策を統合します。確認済みのセキュリティ問題はすべて、公開されている共通脆弱性識別子 (CVE) データベースにも包括的に記録されます。さらに、Qtフレームワークでは、確認済みのセキュリティ問題について事前に通知するために、商用Qt顧客に早期警告リスト (EWL) を提供しています。
EWLプロセスは今後、Qt Groupのすべての商用ソフトウェア製品に拡大され、製品の種類に関わらず商用顧客が利用できるようになります。
Qtプロジェクト オープンソースのセキュリティと脆弱性の対応
Qtプロジェクトは、オープンソースのフレームワークに対して、明確に定義されたセキュリティ問題の対応プロセスを設けています。現在のプロセスは、Qtプロジェクト改善提案 (QUIP) に文書化されており、具体的にはQUIP 0015に記載されています。Qtプロジェクトは、CRAの要件(オープンソースに関するCRAの規定を含む)を遵守するために、そのプロセスと慣行を更新する作業を進めています。以下に、Qtプロジェクトのプロセスの概要を示します。
- セキュリティチーム:Qtプロジェクトには、厳選された開発者で構成されるコアセキュリティチームがあり、セキュリティポリシーが遵守されていることを確認しています。
- 予防措置:プロジェクトでは、セキュリティ上の脆弱性を防止するために、定期的なコードレビュー、静的コード解析、ファズテストを実施しています。
- セキュリティ問題の報告:セキュリティ問題は通常のバグトラッカーではなく、security@qt-project.org の Qt Project セキュリティチームに直接報告してください。商用ライセンスの保有者は、Qt アカウントサポートセンターを通じて問題を報告できます。
- 報告された問題の対応:コアセキュリティチームは報告されたセキュリティ問題を評価し、必要に応じてモジュール保守担当者と調整しながら対応します。
- 情報開示:Qtプロジェクトでは、完全な情報開示を信条としており、パッチの入手先や影響を受けるソフトウェアのバージョンに関する完全な情報を提供しています。
このプロセスは、Qtフレームワークの完全性を維持しながら、セキュリティ問題を効率的かつ透明性をもって処理することを目的として設計されています。
ソフトウェア部品表(SBOM)のアクセス
ソフトウェアのサプライチェーンはますます複雑になっています。CRAの1つの側面として(最近の米国大統領令やガイダンスでも取り上げられている)、ソフトウェア部品表(SBOM)の要求があります。SBOM 文書は、企業にとって CRA 準拠の重要な部分となります。Qt Group は Qt 6.8 LTS で SBOM ドキュメントを標準フォーマットで提供します。その後、Qt Group の製品ポートフォリオ全体にわたって、さらなるドキュメントの開発が行われる予定です。
さらに、お客様のソフトウエアスタック全体に基づいて、SBOM を作成するためのリソースやツールについて、お客様からのフィードバックやインプットを歓迎します。
