Open Source Security Foundation(OpenSSF)は4月28日、オープンソースパッケージ解析プロジェクト「package-analysis」の初のプロトタイプを公開した。
セキュリティ
Linuxはバグ修正の優等生、平均25日で修正ーーGoogleのProject Zero
Google(米Alphabet)のセキュリティチームProject Zeroは2月10日、過去2年間のゼロディ脆弱性に関するデータを公開した。Linuxは脆弱性の報告から修正までの期間が短く、平均して25日という。
任意のコード実行の脆弱性を修正した「Apache Log4j 2.16」が公開
Apache Log4j開発チームは12月13日、Javaロギングツールの最新版「Apache Log4j 2.16.0」を公開した。遠隔から任意のコードを実行されるおそれのある脆弱性(CVE-2021-44228)とそれに続く脆弱性(CVE-2021-45046)を修正するものとなり、アップデートを推奨している。
オープンソースのパケットアナライザ「Wireshark 3.6」が公開
Wireshark Foundationは11月22日、オープンソースのネットワークプロトコル解析ソフトウェアの最新版となる「Wireshark 3.6.0」を公開した。
「PostgreSQL 14.1」が公開、セキュリティ脆弱性を修正
The PostgreSQL Global Development Groupは11月11日、最新のポイントリリースとなる「PostgreSQL 14.1」を公開した。2件のセキュリティ修正が加わっている。合わせて、9.6系最後のリリースも公開した。
Windows向けパスワード監査ツール「L0phtCrack」がオープンソースに
Windows向けパスワード監査ツール「L0phtCrack」開発チームは10月17日、最新版となる「L0phtCrack 7.2.0」の公開と共に、オープンソースとして公開したことを発表した。
Googleがオープンソースの安全性改善に総額100万ドル出資ーー「Secure Open Source Rewards」
Google(米Alphabet傘下)は10月1日、オープンソースのセキュリティ改善のためのリワード(報酬)プログラム「Secure Open Source Rewards」を発表した。Linux Foundationが運営し、Googleはスポンサーとしてセキュリティ改善に取り組んだ開発者に総額100万ドルを支払う。
Google、OSTIFに協力しGitなど8プロジェクトのセキュリティ強化へ
Google(米Alphabet傘下)のGoogle Open Source Security Teamは9月15日、Open Source Technology Improvement Fund(OSTIF)を支援して、Gitなどのオープンソースプロジェクトのセキュリティ改善を図ること発表した。
オープンソースのサプライチェーン攻撃は650%増加、米Sonatype
米Sonatypeは9月15日、オープンソースのサプライチェーンセキュリティを調べた「2021 State of the Software Supply Chain Report」を発表した。オープンソースのサプライチェーン攻撃は650%増加したと報告している。
「OpenSSL 3.0」が公開、ライセンスはApache License 2に変更
TLS実装のOpenSSLを開発するThe OpenSSLプロジェクトは9月7日、最新のメジャーリリースとなる「OpenSSL 3.0」の公開を発表した。
「OpenSSH 8.7」が公開
SSH 2.0互換の「OpenSSH」開発チームは8月20日、最新版となる「OpenSSH 8.7」を公開した。SFTPプロトコルの実験的サポートなどが加わっている。
オープンソースのファイアウォール「OPNsense 21.7」公開
オープンソースのファイアウォール「OPNsense」開発チームは7月28日、最新のメジャーリリースとなる「OPNsense 21.7」( “Noble Nightingale”)を公開した。
Linuxファイアウォール管理の「firewalld 1.0」が登場
Linux用ファイアウォール管理ツールFirewalldの開発チームは7月22日、初の正式版となる「firewalld 1.0.0」公開を発表した。
オープンソースのセキュリティスコア「Scorecards 2.0」が公開
Google(米Alphabet)とOpen Source Security Foundation(OpenSSF)は6月30日、オープンソースのセキュリティをスコアにする「Security Scorecards 2.0.0」を発表した。
8割のライブラリが一度もアップデートされずーー米Veracode調査
アプリケーションセキュリティの米Veracodeは6月22日(米国時間)、オープンソースソフトウェアのセキュリティレポート「Veracode State of Software Security(SoSS) v11: Open Source Edition」を発表した。80%近くのライブラリが一度もアップデートされていないという実態が明らかになった。
Googleオープンソースソフトの脆弱性データベースOSVを拡大、Go、Rust、Python、DWFもサポート
Google(米Alphabet)は6月24日、オープンソースプロジェクトの脆弱性データベース「Open Source Vulnerabilities(OSV)」を拡大し、Go、Rust、Python、DWFの脆弱性データベースをサポートすることを発表した。
Mozilla、Firefoxにサイト隔離のための機構を導入へ
Mozillaは5月18日、セキュリティブログにてFirefoxのデスクトップ版に「Site Isolation」機能を導入することを発表した。2018年初めに脅威が報告されたMeltdownなどの脅威に対するものとなる。
Linux Foundation、オープンソースソフトウェアの署名を容易にする「Sigstore」
非営利団体Linux Foundationは3月9日(米国時間)、最新のプロジェクト「Sigstore」を発表した。リリースファイルへの署名を容易にすることで、ソフトウェアサプライチェーン攻撃に対する保護対策を進める狙い。
クラウドネイティブアプリ向けセキュリティ「Curiefense 1.3」
クラウドアプリケーションのためのセキュリティプラットフォーム「Curiefense」開発チームは3月2日、初のGA(一般公開)となる「Curiefense 1.3.0」公開を発表した。
「OpenSSH 8.5」が公開
SSHプロトコルのオープンな実装「OpenSSH」開発チームは3月3日、最新版となる「OpenSSH 8.5」を公開した。ベターなアルゴリズムに自動アップデートできるUpdateHostkeysがデフォルトで有効になるなどの強化が加わっている。OpenSSH 8.5は2019年に初版が公開された8系の最新版で、2020年9月に公開されたバージョン8.4に続くリリース。
