OpenSSF の新プロジェクト Alpha – Omega：セキュリティのために Microsoft／Google が出資

OpenSSF Launches Project to Secure Open Source Software

2022/02/01 SecurityBoulevard — 今日、Open Source Security Foundation (OpenSSF) は、Microsoft と Google から提供された $5 million の初期投資を用いて、オープンソース・ソフトウェアのセキュリティを向上させるための Alpha-Omega プロジェクトを立ち上げた。

OpenSSF の General Manager である Brian Behlendorf は、このプロジェクトの目的について、セキュリティに関する専門知識を広範なオープンソース・ソフトウェア・プロジェクトに提供し、オープンソース・ソフトウェア構築で用いられる DevSecOps ワークフローに組み込むことが可能な、自動セキュリティ・テスト・ツールへのアクセスを提供することだと述べている。

OpenSSF は、安全なオープンソース・ソフトウェアの識別を容易にするための、認証活動も開始した。

また、OpenSSF の Principal Security Product Manager である Michael Scoveta は、複数のオープンソース・プロジェクトを管理している組織は、共通のツールを用いてプロジェクト全体のテスト・プロセスを自動化することで、より効率的に作業を進められると述べている。

OpenSSF は、オープンソース・ソフトウェアのセキュリティを高めることを目的として設立されている。最近ではホワイトハウスが、オープンソースのセキュリティ状況を議論するための会議を開催している。この会議には、Deputy National Security Advisor for Cyber and Emerging Technology である Anne Neuberger や、National Cyber Director である Chris Inglis に加えて、国防総省／商務省／エネルギー省／国土安全保障省／CISA／NIST などの関係者が参加した。また、民間からは Akamai／Amazon／Apache Software Foundation／Apple／Cloudflare／Facebook/Meta／GitHub／Google／IBM／Linux Foundation／OpenSSF／Microsoft／Oracle／Red Hat／VMware などが参加している。

ホワイトハウスは、企業の IT 環境や政府機関に大打撃を与えた、Log4j ゼロデイ脆弱性が公開された後に、明らかに圧力を高めている。この脆弱性により、あらゆる組織が、オープンソース・ソフトウェア・プロジェクトに依存していることが明らかになった。しかし、それらは、ほんの一握りのボランティアである、メンターやコントリビューターにより作成／維持されていることが多い。また、これらのプロジェクトを確立／運営している人々が、必ずしもサイバー・セキュリティの専門知識を持っているわけではない。実際のところ、彼らの多くは、オープンソース・ソフトウェアのセキュリティを確保する責任は、フリー・ソフトウェアを使用している組織側にあると主張している。コントリビュータやメンテナ側に、ゼロデイ脆弱性に対処するためのパッチを、直ちに作成する責任はない。

その一方で連邦政府は、オープンソース・ソフトウェアに依存している IT ベンダーや大企業に対して、その保護のための努力を期待すると、大統領令により明らかにしている。今回の Alpha-Omega プロジェクトは、その方向性を示す重要な一歩となる。

Behlendorf によると、オープンソース・プロジェクトにおける DevSecOps のベスト・プラクティス／ワークフローを実装する方式を、OpenSSF が正確に指示するわけではない。その代わりに OpenSSF は、セキュリティを確認するためのプロセスを、すでに確立している大規模なプロジェクトとベスト・プラクティスを共有しながら、DevSecOps ワークフローの観点から、小規模なプロジェクトに対応することを計画している。

いずれにしても、オープンソース・ソフトウェアのセキュリティは、今後の数ヶ月から数年の間に、着実に向上していくはずだ。課題は、大きなセキュリティ・インシデントが再び発生する前に、こうした進歩を確実に実現することだ。

このブログに OpenSSF が登場するのは、2021年7月の「Google Allstar は GitHub のセキュアな運用のためのオープンソース」と、10月の「Google が考えるセキュアな OSS：開発者たちに１億円の報奨金を準備する」、そして、文中でも紹介されている「ホワイトハウス OSS セキュリティ・サミット：各ベンダーの声明を集めてみた」となります。昨年から、さまざまな準備が進んでいることだと思います。Alpha-Omega プロジェクトに期待ですね。