Google、OSTIFに協力しGitなど8プロジェクトのセキュリティ強化へ
Google(米Alphabet傘下)のGoogle Open Source Security Teamは9月15日、Open Source Technology Improvement Fund(OSTIF)を支援して、Gitなどのオープンソースプロジェクトのセキュリティ改善を図ること発表した。
この取り組みは、Googleが8月後半に発表したサイバーセキュリティへの100億ドルの投資の一部となる。Open Source Technology Improvement Fund(OSTIF)はオープンソースアプリケーションのセキュリティ改善を目的に2015年に設立された非営利法人。Googleの協力によりOSTIFはManaged Audit Program(MAP)をローンチする。このプログラムの下で、深いレベルでのセキュリティレビューを行う対象となるオープンソースエコシステムを拡大する。
まずは、3種類の調査に基づいて25のプロジェクトリストを作成し、セキュリティ改善が与えるメリットが大きいと考えられる8つのライブラリ、フレームワーク、アプリに絞り込んだ。8つのプロジェクトは、Git、Lodash、Laravel、Slf4j、Jackson-coreとJackson-databind、Httpcomponents-coreとHttpcomponents-client。OSTIFはGoogleの協力について、大企業がセキュリティレビューとソースコード監査を通じてオープンソースセキュリティ改善に乗り出す素晴らしい前例になると賛辞を寄せている。
Open Source Technology Improvement Fund(OSTIF)
https://ostif.org