Linux Foundation は、IBM、GitHub、Google、JPMorgan Chase、Microsoft、NCC Group、Red Hat などの企業を代表する創設理事とともに Open Source Security Foundation (OpenSSF) を設立しました。
OpenSSF は、同じ分野におけるいくつかの既存の取り組みを統合したもので、Open Source Security Coalition (OSSC) と Core Infrastructure Initiative (CII) を 1 つの屋根の下に集めることを目的としています。
CII は、AWS、Facebook、Huawei、Cisco、Intel、Qualcomm、VMware、および前述の OpenSSF 創設メンバーのほとんどを含む幅広いサポートを受けている既存の Linux Foundation プロジェクトです。
CIIは引き続き存在しますが、FAQによると、「長期的には、CIIはOpenSSF傘下で行われている作業に関与しなくなります」とのことです。当面は、CIIはOpenSSFプロジェクトの承認プロセスを通じて活動し、リソースを提供していく予定です。
OpenSSFロゴ
Linux Foundationは、OpenSSFはCIIの単なる改名ではないと述べています。「CIIは主に助成金によって運営されていましたが、OpenSSFはLinux Foundationの会員費と、支援活動を支援するための特定の組織からの寄付によって運営されます。」
Linux Foundationは、GitHubのOSSCも吸収される予定であり、「OSSCメンバーとそのプロジェクトはすべてOpenSSFの一部となる」と述べた。関連するGitHub Security Labは存続する。
OpenSSFには初期段階として5つのワーキンググループがあり、最後のワーキンググループを除いて、GitHubが先月発表した「主要分野」とほぼ一致しています。これらの分野は以下のとおりです。
- 脆弱性開示
- セキュリティツール
- オープンソースプロジェクトに対するセキュリティ上の脅威の特定
- セキュリティのベストプラクティス
- 重要なプロジェクトの確保
ほとんどは説明不要です。最後の「重大」は、「重大」が定義されていない点で興味深いです。おそらく、CIIのFAQに手がかりがあるでしょう。「OpenSSLの資金不足がHeartbleedを引き起こす前に、なぜこれを考えなかったのですか?」という質問です。Heartbleedは2014年に公開されたOpenSSLのバグで、セキュアサーバーから鍵とパスワードを盗むことができました。
FAQには「私たちは今、見落とされたり資金不足になっている重要なプロジェクトを特定するためにできる限りのことを共同で行っており、これによりこのような事態が再び起こる可能性を大幅に減らしています」と書かれている。
OpenSSF には、理事会、技術諮問委員会、および各ワーキング グループごとの個別の技術運営委員会が含まれます。
同財団は、マイクロソフトの主席セキュリティ PM マネージャーである Michael Scovetta によるこの論文 [PDF] を含むリソースを公開しています。
Scovetta 氏は、Sonatype のレポートのデータを基に、脆弱性の公開から実際の悪用までの日数が現在わずか 3 日であり、JavaScript コンポーネントの半数以上に少なくとも 1 つの脆弱性が含まれていると述べています。
スコヴェッタ氏は開発者向けに、脅威モデリングやセキュリティツールの活用など、いくつかの提案を行ったほか、Stack Overflowからコピー&ペーストしたコードの脆弱性チェックも提案した。また、多くのオープンソース開発者は無報酬であるものの、「彼らの成果物は営利企業やその他の組織を支えるために日常的に利用されている」と指摘した。
このような開発者には、セキュリティ問題に重点を置く動機や資金がない可能性があります。OpenSSF とそれが統合するプロジェクトは、業界の対応策の一部です。®
