オープンソースのセキュリティ強化に2年で約200億円の投資、Google、Amazon、マイクロソフト、インテル、VMwareらが資金提供へ。Linux Foundationが計画

Linux Foundationとその傘下のOpenSSF（Open Security Software Foundation）は5月12日と13日、米政府機関や大手IT企業を招いてオープンソースのセキュリティに関する会議「Open Source Software Security Summit II」を米ワシントンDCで開催しました。

From May 12-13, The Linux Foundation and @theopenssf gathered industry and government leaders at the Open Source Software Security Summit II. Together, they agreed on an action plan to make #opensource software more secure:https://t.co/vML7fyDFG7 #cybersecurity pic.twitter.com/20PsjRNJCY

— The Linux Foundation (@linuxfoundation) May 13, 2022

これは、2021年12月発見されたLog4jの深刻な脆弱性が社会的にも大きな影響を与えたことを背景に、今年1月に米ホワイトハウスが開催したオープンソースのセキュリティに関する会議の2回目と位置づけられています。

今回の「Open Source Software Security Summit II」では、今後2年でオープンソースのセキュリティ対策に約1億5000万ドル（1ドル130円換算で195億円）を投ずる計画が立てられました。

当初の資金としてAmazon、Ericsson、Google、インテル、マイクロソフト、VMWareが3000万ドル（同39億円）以上の投資を約束し、AWSも追加で1000万ドル（同13億円）の投資を明らかにしています。

合計で約200億円もの投資は、オープンソースのセキュリティ対策として過去最大になる模様です。

10種類のセキュリティの課題に約200億円を投入

前回の会議では、マイクロソフトとGoogleが主導し、重要なプロジェクトを個別に支援する「アルファプロジェクト」と、自動化された手法とツールを用いて1万以上のプロジェクトを広く支援する「オメガプロジェクト」が計画され、両社が共同で500万ドルを拠出することが発表されています。

参考：オープンソースの安全性を高める「アルファ-オメガプロジェクト」、OpenSSFが開始。マイクロソフトとGoogleがプロジェクトリーダーに

そして今回のSummit IIでは、会議で指摘された下記の主要な10種類のオープンソースソフトウェアのセキュリティに関する課題に対処することが示されました。

1）セキュリティ教育の提供
2）リスクアセスメントの実施
3）リリース時のデジタル署名の導入
4）メモリ安全な言語の採用
5）インシデントへの対応強化
6）脆弱性スキャニングの改善
7）第三者によるコード監査の導入
8）コンポーネントの重要性を測るためのデータ共有
9）SBOM（ソフトウェア部品表）の採用
10）サプライチェーンの改善

200億円もの今回の資金は、2年間の計画でこれらに投入されることになります。