ニュース

オープンソースセキュリティへの取り組みを集約した“Open Source Security Foundation”が設立

創設メンバーにMicrosoft、GitHub、Google、IBM、Red Hatなどが名を連ねる

“Open Source Security Foundation(OpenSSF)”のWebサイト

 米Microsoftらは8月3日(現地時間)、“Open Source Security Foundation(OpenSSF)”の設立を発表した。Linux Foundationが主導する“Core Infrastructure Initiative (CII)”や、GitHubが中心の“Open Source Security Coalition(OSSC)”などで行われているオープンソースセキュリティの取り組みを集約するとともに、より広範なコミュニティをカバーし、ベストプラクティスを構築することでオープンソースソフトウェアのセキュリティ向上を図る。

 オープンソースソフトウェアは今やほとんどすべての企業に採用されており、その技術戦略の中核となっている。そのため、オープンソースソフトウェアのセキュリティを高めることはサプライチェーンの維持に不可欠と言える。また、オープンソースソフトウェアはIT企業だけでなく、公共事業や医療機器、輸送、政府システム、クラウド、ハードウェア、IoTにまで浸透しており、脆弱性の与えるインパクトは重大だ。

 しかし、オープンソースソフトウェアはコミュニティによる主導を旨としており、品質やメンテナンスに責任を持つ主体が存在しない。また、ソースコードはコピーやクローンが自由なため、バージョンの管理や依存関係は複雑になりがちで、セキュリティ問題の発見と周知、情報共有、対策といったプロセスが行き届かなくなる恐れがある。また、悪意ある人物がプロジェクトのメンテナーになったり、こっそりマルウェアを紛れ込ませる行為も否定できない。コミュニティによる主導を基本としつつも、オープンソースソフトウェアのセキュリティを高めたり、コミュニティ自身の脆弱な一面に備えるには、OpenSSFのように業界を横断して一致協力する仕組みが不可欠と言えるだろう。

 OpenSSFの主要な創設メンバーは、以下の通り。CIIは今後も存続し、OpenSSFにリソースと経験を提供する予定。OSSCメンバーとそのプロジェクトは、すべてOpenSSFの一部となる。また、関連リポジトリは“GitHub”でホストされる。

  • GitHub
  • Google
  • IBM
  • JPMorgan Chase
  • Microsoft
  • NCC Group
  • OWASP Foundation
  • Red Hat

 さしあたっては、脆弱性の報告と協調的開示のための統一されたフォーマットとAPIの作成、その採用の促進、セキュリティツールの提供、オープンソース開発者に推奨されるベストプラクティスの整備、プロジェクトの監査や支援などを行うワーキンググループが設置されるとのこと。今後の活動に期待したい。