新コラボレーションOpen Source Security Foundation (OpenSSF) が、オープンソース ソフトウェアのセキュリティ向上を目的とした業界の取り組みを統合
オープンソースを通じた大規模イノベーションの実現に取り組む非営利団体である Linux Foundation は 8月3日 (現地時間)、オープンソース ソフトウェアのセキュリティ向上を目的とした業界の取り組みを統合するOpen Source Security Foundation (OpenSSF) の設立を発表しました。
2020年8月3日 サンフランシスコ発 ー Linux Foundationは本日、Open Source Security Foundation (OpenSSF) の設立を発表しました。OpenSSFでは、オープンソース業界リーダーが集結し、ターゲットを絞ったイニシアチブとベストプラクティスによる広範なコミュニティを構築することで、オープンソース ソフトウェア (OSS) のセキュリティを向上させる業界横断的なコラボレーションを実現します。OpenSSFは、Core Infrastructure Initiative、GitHubのOpen Source Security Coalitionの取り組み、および設立時の理事会メンバーであるGitHub、Google、IBM、JPMorgan Chase、Microsoft、NCC Group、OWASP Foundation、Red Hatによるオープンソースセキュリティ関連プロジェクトを組み合わせます。また、ほかの設立メンバーとして、ElevenPaths、GitLab、HackerOne、Intel、Okta、Purdue、SAFECode、StackHawk、Trail of Bits、Uber、VMwareなどが参加します。
オープンソース ソフトウェアは、データセンター、コンシューマ デバイス、サービスなどで広く普及しており、技術者と企業の間で価値が認められています。その開発プロセスが理由で、最終的にエンドユーザーに届くオープンソースには、ひとつながりのコントリビューターと依存関係が存在します。ユーザーや組織のセキュリティ責任者が、この依存関係のセキュリティを理解し、検証できることが重要です。
OpenSSFは、業界で最も重要なオープンソース セキュリティ イニシアチブとそれをサポートする個人・企業を結び付けます。Heartbleedバグ (2014年) に対処するために設立されたLinux FoundationのCore Infrastructure Initiative (CII) と、GitHub Security Labによって設立されたOpen Source Security Coalitionは、新しいOpenSSFに集約されるプロジェクトのほんの一部です。ファウンデーションのガバナンス、技術コミュニティ、意思決定は透明性が保たれ、開発される仕様とプロジェクトはベンダーに依存しません。OpenSSFは、すべての人のためのオープンソース セキュリティを推進するために、アップストリームおよび既存のコミュニティの両者と協力してコラボレーションを推進します。
Linux Foundation のエグゼクティブ ディレクターであるJim Zemlinは、次のように述べています。
「私たちはオープンソースは公益であり、業界全体が協力し全員が依存しているオープンソース ソフトウェアのセキュリティを改善しサポートする責任があると考えています。オープンソースのセキュリティを確保することは、私たちができる最も重要なことの一つであり、世界中の全員がこの取り組みを支援する必要があります。OpenSSFは、真に協力的で業界横断的な取り組みのためのフォーラムを提供します。」
組織の設立に伴い、理事会 (Governing Board : GB)、技術諮問委員会(Technical Advisory Council : TAC)、および各ワーキング グループとプロジェクトの監督担当によるオープン ガバナンス構造が確立されます。OpenSSFは、世界で最も重要なオープンソース ソフトウェアのセキュリティをサポートするために、さまざまなオープンソース技術イニシアチブをホストする予定であり、すべてGitHubでオープンに管理します。
詳細およびプロジェクトへの貢献は https://openssf.org をご覧ください。
参考資料
Threats, Risks & Mitigations of the Open Source Ecosystem https://github.com/ossf/wg-identifying-security-threats/blob/main/publications/threats-risks-mitigations/v1.1/Threats%2C%20Risks%2C%20and%20Mitigations%20in%20the%20Open%20Source%20Ecosystem%20-%20v1.1.pdf : Open Source Security Coalition
Vulnerabilities in the Core https://www.coreinfrastructure.org/programs/census-program-ii/ : Harvard’s Lab for Innovation Science and Linux Foundation
Red Hat Product Security Risk Report https://www.redhat.com/en/resources/product-security-risk-report-overview : Red Hat
理事会メンバーの声および設立メンバーの声は、プレスリリース (原文) をご覧ください。
Technology and Enterprise Leaders Combine Efforts to Improve Open Source Security
https://www.linuxfoundation.org/press-release/2020/08/technology-and-enterprise-leaders-combine-efforts-to-improve-open-source-security/
Linux Foundationについて
2000年に設立されたLinux Foundationは、1,000を超えるメンバーによってサポートされており、オープンソース ソフトウェア、オープン スタンダード、オープン データ、およびオープン ハードウェアに関するコラボレーションにおいて世界をリードしています。Linux、Kubernetes、Node.jsをはじめとするLinux Foundationのプロジェクトは、世界のインフラに必要不可欠な存在です。Linux Foundationは、ベスト プラクティスを活用し、貢献者、ユーザー、およびソリューション プロバイダーのニーズに対応することにより、サステナブルなオープン コラボレーション モデルを生み出します。詳細については、www.linuxfoundation.org をご覧ください。
###
The Linux Foundation はさまざまな商標を登録および使用しています。The Linux Foundation の商標一覧はこちらのページ ( https://www.linuxfoundation.jp/trademark-usage/ ) でご確認いただけます。
Linux は Linus Torvalds の登録商標です。
