オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに

2022年2月14日

Linux Foundation傘下のOpen Security Software Foundation(OpenSSF)は、オープンソースソフトウェアのサプライチェーン問題を改善し安全性を高めるための大規模なプロジェクト「Alpha-Omega Project」(アルファ-オメガプロジェクト)の開始を発表しました

マイクロソフトとGoogleはこのプロジェクトのために共同で500万ドル(1ドル115円換算で5億7500万円)を拠出し、専門家を派遣してプロジェクトをリードするなど、積極的な役割を果たしています。

ホワイトハウスで議論されたオープンソースのセキュリティ

オープンソースは現在、あらゆるソフトウェア開発や運用の現場において不可欠な存在となっています。しかし広く使われている人気のオープンソースであっても、その開発体制はわずか数人のボランティアで行われていることは珍しくありません。

多くのオープンソースプロジェクトで、脆弱性対処の十分な開発体制をとることや、問題が発生した場合の迅速な対応が困難であることは、以前から指摘されていました。

そうした中で2021年12月にLog4jの深刻な脆弱性が発見され、その影響が社会的にも非常に大きかったことから、サプライチェーンリスクなどと呼ばれるオープンソースの開発体制に関する安全性について、以前よりも高い関心が寄せられるようになります。

この問題意識を背景に、2022年1月に米ホワイトハウスがソフトウェアセキュリティに関する会議を開催しました。

fig

会議には、米国家安全保障サイバーセキュリティ担当官や国防総省、商務省、科学技術政策局、サイバーセキュリティおよびインフラセキュリティ局(CISA)などを始めとする政府側と、アカマイ、Amazon、Apple、Cloudflare、Facebook/Meta、GitHub、Google、IBM、マイクロソフト、オラクル、Red Hat、VMwareなどの企業、そしてApache Software Foundation、Linux Foundation,、Open Source Security Foundationなどが参加。

ここでオープンソースソフトウェアのセキュリティを向上させるための取り組みや、セキュリティの改善を迅速に進める方法について議論が行われました。

参考:米国防総省、オープンソースをプロプライエタリより優先的に採用する調達方針を明らかに。同省CIOが書面で通知

こうした議論を受けて今回OpenSSFにより発表されたのが「アルファ-オメガプロジェクト」です。

fig

アルファ-オメガプロジェクトは「アルファプロジェクト」と「オメガプロジェクト」の2つから構成されます。

アルファプロジェクトは重要なプロジェクトを個別に支援し、オメガプロジェクトでは1万以上のプロジェクトに対して幅広い支援を提供すると説明されており、プロジェクトリーダーにはマイクロソフト Principal Security PM ManagerのMichael Scovetta氏と、Google Group Product Manager for Software Supply Chain Security & CI/CDのMichael Winser氏が参加しています(おそらくアルファプロジェクトを主にマイクロソフトが、オメガプロジェクトを主にGoogleが主導すると推測されます)。

アルファ:重要なプロジェクトを個別に支援

アルファプロジェクトは、最も重要だと評価され選ばれたオープンソースプロジェクトに協力し、セキュリティ体制の改善を個別に支援します。

プロジェクトの選択は、OpenSSFセキュアリングクリティカルプロジェクトワーキンググループ、OpenSSFクリティカリティスコア、ハーバード大学による調査、専門家の意見などを基に行われます。

支援内容には、脅威のモデリング、セキュリティテスト自動化、ソースコード監査、発見された脆弱性の修正をサポートすることなどが含まれます。

さらにステークホルダーに対して主要なメトリクスを示すことでプロジェクトに対するよりよい理解を促進。セキュリティ体制とセキュリティベストプラクティスの遵守状況についての透明性のある標準化されたレポートを一般公開する予定です。

オメガ:1万以上のプロジェクトを自動化などで支援

一方のオメガプロジェクトは、1万以上のオープンソースプロジェクトを対象にセキュリティ対策を支援します。

支援内容としては自動化された手法とツールを用い、クラウドによる技術分析、セキュリティ分析によるトリアージ、プロジェクトに対して重要な脆弱性情報を内密に報告することなどが行われます。

また脆弱性の自動検出やセキュリティに関するベストプラクティスの実装などに関するアドバイスなども提供予定です。

Linux Foundationがウェビナーを開催

Linux Foundationは2月16にこのアルファオメガプロジェクトの詳細に関するウェビナーを開催する予定です。興味のある方は参加されてみてはどうでしょうか。

関連記事

このエントリーをはてなブックマークに追加
follow us in feedly


関連タグ セキュリティ / プログラミング言語 / オープンソース



タグクラウド(β版)

クラウド / AWS / Azure / Google Cloud
コンテナ / Docker / Kubernetes
クラウドネイティブ / サーバレス
クラウド障害 / 運用・監視

プログラミング言語 / 開発ツール
JavaScript / Java / .NET / WebAssembly
HTML/CSS / Web標準
アジャイル開発 / スクラム / DevOps / CI/CD
ソフトウェアテスト・品質
ローコード/ノーコード開発

データベース / RDB / NoSQL / 機械学習・AI
Oracle Database / MySQL / PostgreSQL
Office / 業務アプリケーション

ネットワーク / HTTP / QUIC / セキュリティ
OS / Windows / Linux / VMware
ハードウェア / サーバ / ストレージ

業界動向 / 働き方 / 給与・年収
編集後記 / 殿堂入り / おもしろ

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本