Googleがオープンソースの安全性改善に総額100万ドル出資ーー「Secure Open Source Rewards」

末岡洋子
シェア

 Google(米Alphabet傘下)は10月1日、オープンソースのセキュリティ改善のためのリワード(報酬)プログラム「Secure Open Source Rewards」を発表した。Linux Foundationが運営し、Googleはスポンサーとしてセキュリティ改善に取り組んだ開発者に総額100万ドルを支払う。

 Secure Open Source(SOS) Rewardsは、重要なオープンソースプロジェクトのセキュリティ強化に貢献する開発者に、財務的な報酬を付与するパイロットプログラム。GoogleのGoogle Open Source Security Team(GOSST)の出資の下、プログラム自体はLinux Foundationが運営する。

 GoogleはSOSの対象範囲について明確に定義していないものの、米国立標準技術研究所(NIST)が2021年6月に公開しているサイバーセキュリティ関連の大統領令である「Definition of Critical Software Under Executive Order(EO) 14028」を考慮するとしている。具体的には、セキュリティを改善することでどのぐらいのユーザー数でどの種類のユーザーに影響があるのかなどの「インパクト」、既存のオープンソース重要性に関するリサーチにおける順位(「Census Program II」「OpenSSF Critically Score 」)などを挙げている。

 評価する作業内容としては、当面はソフトウェアサプライチェーンに関するセキュリティ(CI/CDパイプラインとディストリビューションインフラのハードニングなど)、ソフトウェアアーティファクトへの署名の適用、OpenSSF Scorecardの結果が高くなるような改善などとしている。

 報酬の合計は100万ドル。報酬の目安としては、複雑でインパクトがあり、影響が長く続くような改善に対しては1万ドル、適度に複雑で意味あるセキュリティメリットが得られるような改善に対しては5000〜1万ドル、適度に複雑かつインパクトのあるものは1000〜5000ドル、小規模だがセキュリティの点からメリットがあるものは505ドル、としている。Googleは8月、100億ドルをサイバーセキュリティに投資することを発表しており、今回のスポンサー活動もその延長となる。Googleによると、今回の100万ドル出資はスタートであり、他の大企業などとともにSOSパイロットプログラムを持続性のある長期的なイニシアティブにしたいとしている。

Secure Open Source(SOS)
https://sos.dev