Google が考えるセキュアな OSS:開発者たちに1億円の報奨金を準備する

Google Contributes $1M to Reward Developers for OSS Security

2021/10/01 SecurityBoulevard — 今日 Google は、Linux Foundation により管理される Secure Open Source (SOS) Pilot Program を立ち上げた。このプログラムでは、オープンソース・ソフトウェアの安全性を高める取り組みを行った開発者に対して、$1 million の報酬が提供される。Google Open Source Security Team の Principal Engineer and Manager である Abhishek Arya は、「今回の取り組みは、Google が以前から行ってきた $10 billion 規模のオープンソース・セキュリティへの取り組みの最新版だ」と述べている。

開発者の努力に対する報酬は、最近になってバイデン政権が発表したサイバー・セキュリティ大統領令を受けて、米国商務省の National Institute of Standards and Technology (NIST) が策定したガイドラインに基づいて決定される。また、対象となるプロジェクトが、Harvard 2 Census Study における最も使用されているパッケージに含まれているかどうかや、解決さらた問題のスコアが OpenSSF Criticality Score プロジェクトの 0.6 以上であるかどうかなども考慮される。

この報酬は、ほぼ確実に重大な脆弱性を防ぐことができる場合や、複雑で影響力の大きい永続的な改善に対しては $10,000 以上、セキュリティの観点からメリットのある小さな改善に対しては $505 というふうに、作業の複雑さと影響力に応じて決定される。中程度から高い複雑性を持ち、より長いスパンでインパクトのある改善を行う場合には、限定的に前払いの資金が支払われる。これらの前払い要求には、どのように改善を行うかの詳細な計画が必要となる。

具体的に言うと、CI/CD (continuous integration / continuous delivery) パイプラインや、ディストリビューション インフラの強化、コード ・レビューから依存関係の更新までをカバーする、Supply Chain Levels for Software Artifacts フレームワークで定義されたタスクなどを、Linux Foundation では奨励したいと考えている。このプログラムでは、オープンソース・プロジェクトのメンテナが、ソフトウェア成果物の署名/検証を採用することも奨励している。

また、Linux Foundation は、オープンソース・プロジェクトに対して、同団体が管理する CII (Core Infrastructure Initiative) ベストプラクティス・バッジの取得を奨励している。

Arya によると、今回の $1 million の投資は、Google と Linux Foundation による取り組みの始まりであり、他の組織が資金を提供し、サイバー・セキュリティ向上に時間と労力を費やす開発者に報いることを期待しているとのことだ。

ソフトウェア・セキュリティに関しては、多くの開発者がイノベーションを重視するという課題が存在する。ほとんどの開発者は、セキュリティについて、あまり華やかではないプログラミング作業の集合体であると考えている。その結果として、オープンソースのセキュリティ問題に注力する開発者の数は相対的に少なくなっている。Arya は、「開発者に報酬が支払われるなら、オープンソースのセキュリティに特化した少数の開発者が現れるのではないかと、Google は期待している」と述べている。

ソフトウェアのサプライチェーンにおける一連の不正行為が話題になったことを受けて、今はオープンソース・ソフトウェアのセキュリティに注目が集まっている。現在、ほとんどのアプリケーションには、程度の差こそあれ、オープンソースのコンポーネントが使用されているが、すべてが同じように安全というわけではない。

サイバーセキュリティ・チームは、オープンソース・ソフトウェアの古いバージョンに存在する脆弱性や、発見されたばかりの脆弱性を、定期的にスキャンしている。そもそも論になるが、オープンソース・ソフトウェアの安全性が高ければ高いほど、そのような面倒な作業は少なくなるはずだ。

Google もセキュリティに関する取り組みを着々と進めていますね。関連する記事としては、「Google Allstar は GitHub のセキュアな運用のためのオープンソース」や、「Google Scorecards は OSS のセキュリティリスクをスキャンする」、「Google が共有する脆弱性のためのオープンソースとは?」などがあります。合わせて、ご参照ください。

%d bloggers like this: