Linux FoundationとOpenSSF、業界と政府のリーダーを集めたオープンソースソフトウェアセキュリティサミットII を開催

10項目のオープンソースおよびソフトウェアサプライチェーン セキュリティ行動計画をリリース、初回の資金提供は3,000万ドル以上に！

Linux FoundationとOpen Source Software Security Foundation (OpenSSF) は5月12日 (現地時間)、オープンソースソフトウェアのレジリエンスとセキュリティ向上のために取るべき主要行動について合意するために、37社90人以上の企業幹部、および政府指導者を招集し、オープンソースソフトウェア セキュリティサミットII を開催した。オープンソースとソフトウェア サプライチェーン セキュリティに幅広く対応する10項目の行動計画を発表した。

2022年5月12日 ワシントンD.C.発 ー Linux Foundation とOpen Source Software Security Foundation (OpenSSF) は、オープンソースソフトウェアのレジリエンスとセキュリティ向上のために取るべき主要行動について合意するために、37社90人以上の企業幹部、NSC、ONCD、CISA、NIST、DOE、OMBから政府指導者を集めた。

オープンソースソフトウェア セキュリティサミットII は、2022年1月13日に開催されたホワイトハウス国家安全保障会議による第1回サミットに続くものです。今回は、バイデン大統領の「国家サイバーセキュリティ改善に関する大統領令」1周年の記念日にLinux FoundationとOpenSSFにより招集された。

Linux FoundationとOpenSSFは、あらゆるセクターからの情報提供を受けて、オープンソースとソフトウェア サプライチェーン セキュリティに幅広く対応する、これまでにない計画を策定した。サミット II 計画は、計画が特定する10項目の主要な問題に対して十分に精査された解決策を迅速に進めるために、2年間で約1億5,000万ドルのファンディングを概算している。10項目の投資の流れには、より迅速な改善と、よりセキュアな未来への強固な基盤作り両方のための具体的なアクションプランが含まれている。

参加組織の一部は、計画の実施に向けた最初の資金提供を誓約するために集まった。これらの企業は、Amazon、Ericsson、Google、Intel、Microsoft、VMWareであり、3,000万ドル以上を約束している。 計画がさらに進展するにつれて、より多くの資金が特定され、個々の流れが合意されたときに作業が開始される。

これは、OpenSSFコミュニティメンバーがオープンソース ソフトウェアに対して行っている既存の投資に基づいている。 Linux Foundationのステークホルダーの非公式な調査によると、1億1000万ドル以上を費やし、オープンソースソフトウェアランドスケープの保護に焦点を当てた100人近くのフルタイム相当の従業員を雇用している。 この計画はそれらの投資に追加される。

おもなバックグラウンド

10項目計画の3つの目標

オープンソース セキュリティ製品の保護

1. 安全なソフトウェア開発の基本となる教育と認定を、プロフェッショナルなOSS開発者のための新しい標準にする。
2. 上位 10,000 のオープンソース コンポーネントについて、ベンダーニュートラルで客観的な指標に基づく公開のリスク評価ダッシュボードを確立する。
3. ソフトウェアリリースにおけるデジタル署名の採用を促進する。
4. メモリセーフでない言語を置き換えることにより、多くの脆弱性の根本原因を排除する。

脆弱性検出と修正の強化

1. メンテナーや専門家による新しい脆弱性の発見を加速させる。
2. オープンソース プロジェクトが危機的状況のときに支援する「ボランティア消防士」のセキュリティ専門家部隊を設立する。
3. 最も重要なオープンソース ソフトウェア コンポーネント200件について、サードバーティによるコードレビュー（および必要な修正作業）を毎年実施する。
4. 業界全体のデータ共有を調整し、最も重要なオープンソース ソフトウェアを決定するのに役立つ調査を改善する。

エコシステムのパッチング レスポンス タイムの短縮

1. ソフトウェア部品表 (SBOM) の普及 – SBOMツールとトレーニングを改善し普及を促進する。
2. より優れたサプライチェーン セキュリティ ツールとベストプラクティスで、最も重要な10件のオープンソース ソフトウェア ビルド システム、パッケージ マネージャー、ディストリビューション システムを強化する。

10項目計画の概要

1. セキュリティ教育：安全なソフトウェア開発の基本となる教育と認定を、すべての人に提供する。
2. リスク評価：トップ1万件（またはそれ以上）のOSSコンポーネントについて、一般に公開され、ベンダーニュートラルで、客観的指標に基づくリスク評価ダッシュボードを確立する。
3. デジタル署名：ソフトウェア リリースにおけるデジタル署名の採用を加速させる。
4. メモリの安全性：メモリセーフでない言語を置き換えることにより、多くの脆弱性の根本原因を排除する。
5. インシデントへの対応：OpenSSF Open Source Security Incident Response Team（OpenSSF オープンソース セキュリティ インシデント対応チーム：脆弱性対応の重要な時期に、オープンソースプロジェクトを支援できるセキュリティ専門家の集団）を設置する。
6. スキャン機能の向上：高度なセキュリティツールと専門家によるガイダンスを通じて、メンテナーや専門家による新しい脆弱性の発見を加速させる。
7. コード監査：最も重要なOSSコンポーネントの最大200件について、サードパーティのコードレビュー（および必要な修正作業）を年に1回実施する。
8. データ共有：業界全体のデータ共有を調整し、最も重要なOSS コンポーネントを決定するのに役立つ調査を改善する。
9. SBOMの普及：SBOMツールとトレーニングを改善して採用を促進する。
10. サプライチェーンの改善：より優れたサプライチェーン セキュリティ ツールとベストプラクティスで、最も重要な10件のOSS ビルド システム、パッケージ マネージャー、ディストリビューション システムを強化する。

コメント

Jim Zemlin – Executive Director, Linux Foundation: 「バイデン大統領の大統領令から1周年を迎えた今日、私たちは実行可能な計画で対応するためにここにいます。なぜなら、オープンソースは私たちの国家安全保障にとって重要な要素であり、今日のソフトウェアのイノベーションに何十億ドルも投資されている基礎となるものだからです。私たちは、集団でサイバーセキュリティの回復力を高め、ソフトウェア自体への信頼を向上させるという共通の義務を負ってます。この計画は、私たちの統一された声と共通の行動への呼びかけを表しています。これからの最重要課題はリーダーシップです」。

Brian Behlendorf – Executive Director, Open Source Security Foundation (OpenSSF): 「私たちがここで一緒にやっていることは、何が問題でそれを解決するために何ができるかという一連のアイデアと原則を集約することです。私たちがまとめた計画は、その開始点として地上に立てた10本の旗です。計画を行動に移せるようなさらなる意見とコミットメントを得ることを切望しています」。

関係各社からのコメントはこちら