Googleは最近、オープンソースプロジェクトにおける共同での脆弱性開示に関するガイドラインを公開しました。これは、オープンソースセキュリティに関する知識の普及を目的としています。これは、同社が最近公開したオープンソースの脆弱性対応フレームワーク「Understand, Prevent, Remediate（理解、予防、修復）」の「修復」セクションにも含まれています。

このガイドは主に 3 つの部分で構成されています。

• 脆弱性の開示、CVD プロセスの手順、プロセスの決定ポイントに関する考慮事項、一般的な問題のトラブルシューティングに関連する背景資料の維持を含む、脆弱性管理のための「インフラストラクチャ」を確立します。
• 脆弱性対応プロセスには、プロジェクトで問題が発生したときに関する運用マニュアルが含まれています。
• SECURITY.MD から公開開示概要までのテンプレートは、問題を解決する際にユーザーが必要とするすべてのコミュニケーション方法を網羅しています。

この記事は、脆弱性報告を受けていないからといって、必ずしもプロジェクトに開示ポリシーが必要というわけではない、あるいは「セキュリティ専門家」だけが脆弱性開示ポリシーを実装できるわけではないことを指摘しています。共同作業による脆弱性開示の成功は、通常、適切なプロセス管理と明確で思慮深いコミュニケーションにかかっています。報告者が脆弱性開示ポリシーをどのように活用しているかを理解するために、ユーザーはオペレーティングシステムの機能に精通している必要はありません。事前に定義された戦略、適切に開発されたテンプレート、そして優れた運用マニュアルがあれば、ほとんどの種類の脆弱性を発見、修正、開示することができます。

最後に、Googleは、今日の業界ではサプライチェーンへの依存度が高いため、単一のオープンソースプロジェクトのセキュリティ向上だけでも、全体に大きな効果をもたらす可能性があると述べました。脆弱性の開示は、セキュリティ体制全体にとって重要な側面であり、Googleは、オープンソースプロジェクトがこのガイドラインに従い、オープンソースのセキュリティを総合的に向上させることを期待しています。

この記事はOSCHINAから転載したものです。

記事タイトル: Googleがオープンソースプロジェクト向けの脆弱性開示ガイドラインを公開

この記事のアドレス: https://www.oschina.net/news/130332/google-vulnerability-disclosure