先日開催されたホワイトハウス・オープンソース・ソフトウェア・セキュリティ・サミットでは、Linux Foundationとオープンソース・ソフトウェア・セキュリティ財団（OpenSSF）が、37社の90名を超える経営幹部と米国政府の関係リーダーらと共催し、オープンソース・セキュリティに関する取り組みについて議論しました。この会議は、バイデン政権がソフトウェア・サプライチェーンのセキュリティ強化に関する大統領令を発令してからちょうど1年を記念するものでした。

Linux FoundationとOpenSSFはカンファレンスにおいて、オープンソースのセキュリティに関する10の主要な問題に対処するため、2年間で1億5000万ドルの資金提供を呼びかけました。具体的な問題は以下の通りです。

セキュリティ教育:すべての人にベースライン セキュリティ ソフトウェア開発の教育と認定を提供します。

リスク評価:上位 10,000 個 (またはそれ以上) の OSS コンポーネントの客観的なメトリックに基づいて、オープンでベンダー中立のリスク評価ダッシュボードを確立します。

デジタル署名:ソフトウェア バージョンでのデジタル署名の採用を促進します。

メモリの安全性:メモリが安全でない言語を置き換えることで、多くの脆弱性の根本原因が排除されます。

インシデント対応: OpenSSF オープンソース セキュリティ インシデント対応チームを設立し、セキュリティ専門家が介入して、脆弱性への対応における重要な瞬間にオープンソース プロジェクトを支援できるようにします。

より優れたスキャン:高度なセキュリティ ツールと専門家のガイダンスにより、メンテナーと専門家による新しい脆弱性の発見が加速されます。

コード監査:最も重要な OSS コンポーネントのうち最大 200 個に対して、サードパーティによるコードレビュー (および必要な修正) が毎年実施されます。

データ共有:業界全体でデータ共有を調整して、最も重要な OSS コンポーネントを特定するのに役立つ調査を改善します。

ソフトウェア部品表 (SBOM) はどこにでもあります。SBOMツールとトレーニングを改善して、導入を促進します。

サプライ チェーンの改善:より優れたサプライ チェーン セキュリティ ツールとベスト プラクティスを使用して、最も重要な 10 個のオープン ソース ソフトウェア ビルド システム、パッケージ マネージャー、配布システムを強化します。

しかし、米国政府はこれに資金を提供する予定はない。OpenSSFのゼネラルマネージャー、ブライアン・ベーレンドルフ氏はホワイトハウスでの記者会見で、「明確にしておきたいのは、我々は政府から資金を調達するためにここにいるわけではないということです。資金援助のために政府に直接アプローチする必要があるとは考えていません。誰でも成功する可能性があります」と述べた。

Amazon、Ericsson、Google、Intel、Microsoft、VMware が 3,000 万ドルの寄付を約束したと報告されています。Amazon Web Services (AWS) も OpenSSF への投資を増額し、今後 3 年間でさらに 1,000 万ドルを寄付すると発表しました。

一方、Googleはカンファレンスで「オープンソースメンテナンスクルー」の結成を発表しました。これは、設定の強化からアップデートの展開まで、アップストリームのオープンソースプロジェクトのセキュリティ確保に専念する開発者チームです。

詳細は企画書をご覧ください。

この記事はOSCHINAから転載したものです。

タイトル: ホワイトハウスがオープンソースソフトウェアの保護のためOpenSSFとLinux Foundationに加盟

この記事のアドレス: https://www.oschina.net/news/195832/white-house-openssf-linux-foundation-oss