マイクロソフト、Google、GitHub、Red Hatらが「Open Source Security Foundation」(OpenSSF)を結成。オープンソースのセキュリティ改善へ

2020年8月5日

いまやオープンソースソフトウェアは社会的に重要な基盤として欠かせないものになっています。

それはクラウドの構築に使われるソフトウェアの多くがオープンソースであり、さらにその上で実行されるミドルウェアやアプリケーションの多くにもオープンソースが使われていることからも分かるとおりです。

このように非常に重要なものとなったオープンソースソフトウェアのセキュリティを継続的に改善していくための団体として、マイクロソフト、Google、GitHub、IBM、Red Hat、VMwareなどをはじめとする企業が、Linux Foundation傘下の団体として「Open Source Security Foundation」(OpenSSF)を結成しました。

fig

マイクロソフトでMicrosoft AzureのCTOであるMark Russinovich氏は、OpenSSFの結成に至る背景を、ブログ「Microsoft joins Open Source Security Foundation」で次のように説明しています。

Open source software is inherently community driven and as such, there is no central authority responsible for quality and maintenance. Because source code can be copied and cloned, versioning and dependencies are particularly complex.

オープンソースソフトウェアは本質的にそれぞれのコミュニティが主導するため、全体の品質やメンテナンスに責任を持つような中央機関が存在しません。その理由として、ソースコードはコピーやクローンが可能で、バージョン管理や依存関係がとりわけ複雑だからです。

Open source software is also vulnerable to attacks against the very nature of the community, such as attackers becoming maintainers of projects and introducing malware.

しかもオープンソースソフトウェアは、攻撃者がプロジェクトのメンテナになったり、マルウェアを導入したりするなど、コミュニティの性質そのものに対する攻撃に対しても脆弱です。

こうした課題を解決するための団体として、OpenSSFが結成されたとしています。

4つのワーキンググループが活動開始

OpenSSFはまず、オープンソースのセキュリティに関してメトリクスやツール、ベストプラクティスなどの提供、開発者のアイデンティティ検証、脆弱性開示のベストプラクティスに焦点を当てるとしています。

具体的には、以下のワーキンググループが活動を開始するとのこと。

Vulnerability Disclosures(脆弱性の公開)
脆弱性を修正し、エコシステム全体に展開するまでの時間を数カ月ではなく数分単位にすることを目指す。そのために脆弱性報告/協調開示のための統一されたフォーマットとAPIを作成し、幅広い採用を促進する。

Security Tooling(セキュリティツール)
オープンソース開発者に最高のセキュリティツールを提供し、それらをどこからでもアクセスできるようにする。そのために、メンバーが協力して既存のセキュリティツールを改善し、より広範なオープンソースコミュニティのニーズに合わせて新しいものを開発できるようにする。

Identifying Security Threats to Open Source Projects(オープンソースプロジェクトに対するセキュリティ脅威の特定)
オープンソースソフトウェアのステークホルダーたちがプロジェクトのセキュリティについて信頼性の高い情報を得られるようにする。一連の主要なメトリクスを特定し、そのメトリクスをステークホルダーに伝えるためのツール(API、Web UI)を構築することで、ステークホルダーが個々のオープンソースコンポーネントのセキュリティ態勢を理解できるようにする。

Security Best Practices(セキュリティのベストプラクティス)
オープンソース開発者にセキュリティに関するベストプラクティスの推奨事項を提供する。これにより、重要なプロジェクトのセキュリティ確保と、監査、保証、対応チーム、改善など実践的な作業を実施できるようにする。

あわせて読みたい

業界動向 GitHub Google IBM Microsoft Red Hat オープンソース




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本