Linux Foundation、オープンソースのセキュリティ強化のため3プロジェクトを支援へ

 Linuxを支援する非営利団体Linux Foundationは6月22日(米国時間)、重要なセキュリティ関連ソフトウェアの開発に約45万ドルを投資することを発表した。2014年の「Heartbleed」脆弱性問題を受けて立ち上がったCore Infrastructure Initiative(CII)の下、新たに3つのプロジェクトを立ち上げる。

 Core Infrastructure Initiative(CII)は2014年に大きな問題となったOpenSSLのHeartbleed脆弱性の発覚後にLinux Foundationが立ち上げたもの。米Facebook、米Google、米IBM、富士通、日立製作所、NECなど20社以上の企業、開発者などが参加し、主要なオープンソースプロジェクトに向けてセキュリティ関連の開発を支援する。すでにOpenSSLへの支援、フルタイム開発者の支援などを行ってきたが、取り組みを拡大する。

 新たに立ち上げるプロジェクトは、「Reproducible Builds」「The Fuzzing Project」「False-Positive-Free Testing」の3つ。Reproducible BuildsはDebian、Fedoraなどにおけるバイナリディストリビューションの信頼性を強化することを目指すプロジェクト。特定のソースからまったく同一のバイナリパッケージを作成できるようにするもので、ビルドプロセスでの安全対策を講じるもの。Debian開発者のHolger Levsen氏とJérémy Bobbio氏が取り組みを統括し、Linux Foundationは20万ドルを寄贈する。

 The Fuzzing Projectは、ソフトウェアのバグなどセキュリティ問題検出のための手法を提供するプロジェクト。GnuPGやOpenSSLバグ発見に貢献したセキュリティ研究者のHanno Böck氏がプロジェクトを統括、Linux Foundationは6万ドルをBöck氏に提供する。

 False-Positive-Free Testingはプロジェクト、仏TrustInSoftの共同設立者兼チーフサイエンティストPascal Couq氏のプロジェクトで、Linux Foundationは19万2000ドルを投じる。Couq氏はこのプロジェクトの下、OpenSSL上で誤検知のない運用を支援することを目的としたオープンソースの「TIS Interpreter」を開発する。TIS Interpreterは商用のソフトウェア分析ツール「TIS Analyzer」の変種で、2016年始めにソースコード公開を見込むという。

 Linux Foundationはこれに合わせて、Emily Ratliff氏をCIIのインフラセキュリティ担当シニアディレクターとして迎え入れたことも発表した。Ratliff氏はLinux、システム、クラウドなどにおけるセキュリティ分野の専門家で、20年以上の経験を持つという。直近では米AMDに勤務していた。

Reproducible Builds
https://wiki.debian.org/ReproducibleBuilds

The Fuzzing Project
https://fuzzing-project.org/