Mozilla、オープンソースのセキュリティ問題に取り組む「Secure Open Source」プログラムを発表
Mozillaは6月9日、オープンソースソフトウェアプロジェクトのセキュリティ対策を支援するプログラム「Secure Open Source(SOS)」を発表した。初期投資として50万ドルを投じてオープンソースプロジェクトのセキュリティ監査などを行う。同時に、オープンソースを利用する企業や政府に財務支援も呼びかけている。
Secure Open Source(SOS)は、Mozillaが2015年秋に開始したオープンソース支援プログラム「Mozilla Open Source Support(MOSS)」の一部として展開する。Mozillaはこの背景について、OpenSSLの脆弱性「Heartbleed」やBashの「ShellShock」といった大きなセキュリティ問題があったにも関わらず、オープンソースソフトウェアを安全にするための適切なサポートがないため、としている。
本プログラムでは、Mozillaによる初期投資50万ドルを利用して、広く使われているオープンソースライブラリおよびプログラムの監査を行う。監査はセキュリティ企業が行い、そのオープンソースプロジェクトのプロジェクト管理者に会い、修正と公開作業を支援する。修正のチェックを専門家に依頼するというステップを経る。
すでに、正規表現を実装するCライブラリPCRE(Perl-Compatible Regular Expressions)、libjpegのフォークlibjpeg-turbo、MySQL向けWebベースの管理ツールphpMyAdminの3種のオープンソースプロジェクトについてこれらの作業が行われているという。その結果合計で43のバグを発見し、修正できたと報告されている。この中には深刻度の高い脆弱性が1件含まれており、よく利用されているイメージファイルフォーマットが関連した問題が2件あったとのことだ。
今後、オープンソース技術を利用する企業や政府にも参加を呼びかける。
Mozilla
http://www.mozilla.org/