OpenSSF Releases Security Baseline for Open Source Projects
2025/02/26 SecurityWeek — 2025年2月25 (火) に、Linux Foundation の Open Source Security Foundation (OpenSSF) が発表したのは、オープンソース・ソフトウェアにおける最低限のセキュリティ要件の確立を目的とするプロジェクトのイニシャル・リリースである。
この、Open Source Project Security Baseline (OSPS Baseline) と名付けられた取り組みは、脆弱性リスクの軽減と、プロジェクトの信頼性向上を目的とした、最低限のベスト・プラクティスを実装するためのガイダンスの提供であり、オープンソース・プロジェクトのセキュリティの強化を目的としている。
OSPS Baseline は、OpenSSF などのグループのガイダンスに基づいた、セキュリティ・チェックリストである。その骨組みは、タスク/成果物/プロセス/コンフィグなどで構成されており、プロジェクトの進化につれて成長する階層型のフレームワークであると、作成者は説明している。
この Baseline は、セキュリティに関する外部からの期待に対する、開発者による理解を促し、マーケティングにも役立つ。セキュリティを真剣に受け止めるプロジェクトへと成長すれば、ユーザーによる採用の確率も高まっていくはずだ。
特定の Baseline レベルを満たすよう、スポンサーから要求されない限り、すべてのプロジェクトに推奨されるのは、最低でも Level_1 の要件の達成となる。それは、OSSF が、オープンソース・プロジェクトについて表現する、“universal security floor” を確立するものだ。
古くからの多数のユーザーを抱えるプロジェクトであれば、最上位の Level_3 に従うことが推奨される。
Level_1 に取り込まれるのは、MFA の使用に加えて、プロジェクトに貢献できるユーザーなどに関する要件、リリースとライセンスの要件、バージョン管理とプロジェクト ドキュメントに関する提案などである。
Level_3 が重点を置くのは、権限管理および、リリースとプロジェクトのドキュメント、テストなどである。
Ericsson の Chief Standardization Officer である Per Beming は、「Open Source Project Security Baseline (OSPS) は、オープンソース・プロジェクトのセキュリティを強化するための重要なツールである。 包括的かつ実施可能な対策を表現する Security Baseline は、オープンソース・エコシステムを構成する、すべてのメーカー/管理者/プロジェクトなどの関係者が、有意義な措置を講じるための、効果的なガイダンスを提供する。それにより、私たち全員が依存し、協力して責任を負っていく、オープンソース・サプライチェーンが保護される」と述べている。
OSPS Baseline は、有識者グループにより維持されるが、すべての関係者に推奨されるのは、そのフレームワークの改良に貢献し、利用を促進することである。
オープンソース・プロジェクト向けのセキュリティ要件が体系化されたフレームワークが、Linux Foundation から公開されました。これにより、セキュリティ・リスクの低減や、持続可能な開発環境の実現が期待されます。よろしければ、カテゴリ _OpenSource も、ご利用下さい。
IoT OT Security News 
You must be logged in to post a comment.