オープンソース界を代表する人物の1人であるEric S. Raymond氏は「十分な目ん玉があれば、全てのバグは洗い出される」と述べ、これを「Linusの法則」と呼んだ。これこそが、オープンソースがソフトウェア開発の主流になった理由の1つだ。とはいえ、それだけで十分なわけではない。そのためにはバグを追いかけ、修正する専門家の目が必要であり、作業の重複を避けるための調整作業も必要になる。
今回、The Linux Foundationが「Open Source Security Foundation」(OpenSSF)を設立したのは、遅すぎたくらいだと言ってもいいかもしれない。OpenSSFは業界横断的な組織であり、オープンソース界の重要な組織を集めて、広がりのあるセキュリティコミュニティーを構築することを目的としている。同団体の活動は、Core Infrastructure Initiative(CII)や、GitHubのOpen Source Security Coalitionのほか、GitHubやGitLab、Google、IBM、Microsoft、NCC Group、OWASP Foundation、Red Hat、VMwareなどのオープンソースのセキュリティに精通した企業の取り組みを結集したものだ。
かつてはオープンソースを目の敵にしていたMicrosoftも、OpenSSFにリソースを投入している。Microsoft Azureの最高技術責任者(CTO)であるMark Russinovich氏は、ブログ記事で同社がOpenSSFと協力して進めていく取り組みを列挙している。
オープンソースプロジェクトに存在するセキュリティ上の脅威の発見
開発者がオープンソースソフトウェアのエコシステムに存在するセキュリティ上の脅威について理解し、それらの脅威が特定のオープンソースプロジェクトにどのような影響を与えるかを理解するのを助ける。
セキュリティツールの整備
オープンソース開発者に最高のセキュリティツールを提供し、広くアクセスできるようにする。また、メンバーが協力して既存のセキュリティツールを改善したり、より幅広いオープンソースコミュニティーのニーズに合わせて新しいツールを開発したりすることができる場を作る。
セキュリティのベストプラクティス
オープンソース開発者に、推奨されるベストプラクティスを簡単に学習し、適用する手段を提供する。さらに、私たちはベストプラクティスをオープンソース開発者に広めることに力を入れており、そのために効果的な学習プラットフォームを利用する。
脆弱性情報の開示
脆弱性の修正とエコシステム全体でのパッチの展開を、数カ月単位ではなく、数分単位で行えるオープンソースソフトウェアのエコシステムを構築する。
OpenSSFのガバナンス、技術コミュニティーの運営、意思決定は透明性のある形で進められる。また、同団体が作る仕様やプロジェクトはベンダーに依存しないものになる。さらに同団体は、万人のためにオープンソースのセキュリティを高めることを目的として、アップストリームコミュニティーと既存のコミュニティーの両方と協力して行くという。
OpenSSFが手掛けるオープンソースセキュリティに関する取り組みは、GitHubでホストされる予定だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)
"修正する" - Google ニュース
August 04, 2020 at 11:52AM
https://ift.tt/3kaOO1K
Linux Foundationがオープンソースセキュリティのための団体を設立 - ZDNet Japan
"修正する" - Google ニュース
https://ift.tt/2P2oTMt
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment