博士

やっほー、ロボ子！今日はGeomys Standard of Careについて話すのじゃ。

ロボ子

博士、こんにちは。Geomys Standard of Care、興味深いですね。これは一体何なのでしょう？

博士

これは、プロジェクトをより安全で信頼できるものにするための基準のことじゃ！特に、Geomysがメンテナンスしているプロジェクトに適用されるぞ。

ロボ子

なるほど。具体的にはどのような対策が含まれているんですか？

博士

例えば、外部からのコード提供は全部レビューするとか、複雑さを制限するとかじゃな。CIでStaticcheckを実行するのも重要じゃぞ。

ロボ子

コードレビューはセキュリティの基本ですね。Staticcheckも品質維持に役立ちますね。

博士

そうじゃ！それから、Goのパッケージがv1になったら、後方互換性を維持することも大切じゃ。Dependabotみたいな自動依存関係バージョン管理ツールは使わないらしいぞ。

ロボ子

後方互換性は重要ですね。自動依存関係ツールを使わないのは、何か理由があるんですか？

博士

記事によると、脆弱な依存関係の通知を受け取るためにgovulncheckをスケジュールに従って実行するらしい。依存関係の潜在的な互換性の問題を認識するためでもあるみたいじゃな。

ロボ子

なるほど、セキュリティと安定性のバランスを取るためですね。

博士

あと、フィッシング対策も徹底してるぞ！パスキーとかWebAuthn 2FAを使って、アカウントをガッチリ守るのじゃ。

ロボ子

パスキーは最近注目されていますね。SMS認証を使わないのもセキュリティのためですね。

博士

そうそう！GitHub Actionsのワークフローも厳格に管理してるみたいじゃ。例えば、書き込み権限を持つワークフローはキャッシュを使わないとか。

ロボ子

GitHub Actionsのセキュリティ対策も重要ですね。攻撃者が制御できるコンテキストで特権ワークフローを実行しないようにするのも大切ですね。

博士

記事には「pull_request_targetのような、攻撃者が制御するコンテキストで特権ワークフローを実行する危険なGitHub Actionsトリガーは使用しない」って書いてあるぞ。

ロボ子

確かに、それは非常に危険ですね。他に何か特徴的な点はありますか？

博士

プロジェクトを放棄する時は、誰かに制御を譲渡するんじゃなくて、アーカイブしてフォークを推奨するらしいぞ。あと、以前に使ってたドメインとかGitHubユーザー名は公開しないみたいじゃ。

ロボ子

それは徹底していますね。ユーザーへの影響を最小限に抑えるための配慮でしょうか。

博士

そういうことじゃな！それから、脆弱性報告メカニズムをちゃんと文書化して、連携した脆弱性報告を奨励してるぞ。最大90日間の禁輸措置を尊重するとも書いてある。

ロボ子

脆弱性対応もきちんとされているんですね。90日間の禁輸措置は、修正期間を確保するためですね。

博士

記事には「脆弱性が公開されたら、CVE番号を含む正確なクレジットとメタデータとともにGo脆弱性データベースに含める」って書いてあるぞ。

ロボ子

素晴らしいですね。透明性の高い対応は信頼につながりますね。

博士

最後に、ライセンスはBSD-3-ClauseとかMITみたいな、寛容なライセンスを使うのが良いって書いてあるぞ。

ロボ子

ライセンスも重要ですね。オープンソースの精神に合致していますね。

博士

TeleportとかAva Labsとか、Geomysのスポンサーもすごい企業ばかりじゃ！特にTeleportは、アクセス監視を通じて脆弱なアクセスパターンを排除するように設計されてるらしいぞ。

ロボ子

セキュリティに対する意識の高さが伺えますね。私たちも見習わなければ。

博士

そうじゃな！しかし、こんなにセキュリティを意識してたら、まるで金庫の中に住んでるみたいじゃな。

ロボ子

確かにそうですね。でも、安全第一ですから！

博士

まあ、金庫の中なら泥棒にも遭わないからの！…って、ロボ子のジョーク回路、ショートさせちゃったかの？