オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに

Linux Foundation傘下のOpen Security Software Foundation（OpenSSF）は、オープンソースソフトウェアのサプライチェーン問題を改善し安全性を高めるための大規模なプロジェクト「Alpha-Omega Project」（アルファ-オメガプロジェクト）の開始を発表しました。

マイクロソフトとGoogleはこのプロジェクトのために共同で500万ドル（1ドル115円換算で5億7500万円）を拠出し、専門家を派遣してプロジェクトをリードするなど、積極的な役割を果たしています。

In The News: OpenSSF Announces The Alpha-Omega Project to Improve Software Supply Chain Security for 10,000 OSS Projects. Read More https://t.co/ztNwT8GXlt pic.twitter.com/Y6ewvDyOJ5

— theopenssf (@theopenssf) February 1, 2022

ホワイトハウスで議論されたオープンソースのセキュリティ

オープンソースは現在、あらゆるソフトウェア開発や運用の現場において不可欠な存在となっています。しかし広く使われている人気のオープンソースであっても、その開発体制はわずか数人のボランティアで行われていることは珍しくありません。

多くのオープンソースプロジェクトで、脆弱性対処の十分な開発体制をとることや、問題が発生した場合の迅速な対応が困難であることは、以前から指摘されていました。

そうした中で2021年12月にLog4jの深刻な脆弱性が発見され、その影響が社会的にも非常に大きかったことから、サプライチェーンリスクなどと呼ばれるオープンソースの開発体制に関する安全性について、以前よりも高い関心が寄せられるようになります。

この問題意識を背景に、2022年1月に米ホワイトハウスがソフトウェアセキュリティに関する会議を開催しました。

会議には、米国家安全保障サイバーセキュリティ担当官や国防総省、商務省、科学技術政策局、サイバーセキュリティおよびインフラセキュリティ局（CISA）などを始めとする政府側と、アカマイ、Amazon、Apple、Cloudflare、Facebook/Meta、GitHub、Google、IBM、マイクロソフト、オラクル、Red Hat、VMwareなどの企業、そしてApache Software Foundation、Linux Foundation,、Open Source Security Foundationなどが参加。

ここでオープンソースソフトウェアのセキュリティを向上させるための取り組みや、セキュリティの改善を迅速に進める方法について議論が行われました。

参考：米国防総省、オープンソースをプロプライエタリより優先的に採用する調達方針を明らかに。同省CIOが書面で通知

こうした議論を受けて今回OpenSSFにより発表されたのが「アルファ-オメガプロジェクト」です。

アルファ-オメガプロジェクトは「アルファプロジェクト」と「オメガプロジェクト」の2つから構成されます。

アルファプロジェクトは重要なプロジェクトを個別に支援し、オメガプロジェクトでは1万以上のプロジェクトに対して幅広い支援を提供すると説明されており、プロジェクトリーダーにはマイクロソフト Principal Security PM ManagerのMichael Scovetta氏と、Google Group Product Manager for Software Supply Chain Security & CI/CDのMichael Winser氏が参加しています（おそらくアルファプロジェクトを主にマイクロソフトが、オメガプロジェクトを主にGoogleが主導すると推測されます）。

アルファ：重要なプロジェクトを個別に支援

アルファプロジェクトは、最も重要だと評価され選ばれたオープンソースプロジェクトに協力し、セキュリティ体制の改善を個別に支援します。

プロジェクトの選択は、OpenSSFセキュアリングクリティカルプロジェクトワーキンググループ、OpenSSFクリティカリティスコア、ハーバード大学による調査、専門家の意見などを基に行われます。

支援内容には、脅威のモデリング、セキュリティテスト自動化、ソースコード監査、発見された脆弱性の修正をサポートすることなどが含まれます。

さらにステークホルダーに対して主要なメトリクスを示すことでプロジェクトに対するよりよい理解を促進。セキュリティ体制とセキュリティベストプラクティスの遵守状況についての透明性のある標準化されたレポートを一般公開する予定です。

オメガ：1万以上のプロジェクトを自動化などで支援

一方のオメガプロジェクトは、1万以上のオープンソースプロジェクトを対象にセキュリティ対策を支援します。

支援内容としては自動化された手法とツールを用い、クラウドによる技術分析、セキュリティ分析によるトリアージ、プロジェクトに対して重要な脆弱性情報を内密に報告することなどが行われます。

また脆弱性の自動検出やセキュリティに関するベストプラクティスの実装などに関するアドバイスなども提供予定です。

Linux Foundationがウェビナーを開催

Linux Foundationは2月16にこのアルファオメガプロジェクトの詳細に関するウェビナーを開催する予定です。興味のある方は参加されてみてはどうでしょうか。

We’ve scheduled a webinar on February 16, 2022 at 10:00 AM US/Pacific time for anyone who wants to learn more about Project Alpha-Omega and registration is now open! Register Now! https://t.co/yu2Nh4UoVK pic.twitter.com/RDqfWNw5uk

— theopenssf (@theopenssf) February 2, 2022

関連記事

• 米国防総省、オープンソースをプロプライエタリより優先的に採用する調達方針を明らかに。同省CIOが書面で通知
• 広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を
• マイクロソフト、Google、GitHub、Red Hatらが「Open Source Security Foundation」（OpenSSF）を結成。オープンソースのセキュリティ改善へ