OpenSSF、新メンバー企業とソフトウェアセキュリティの指針を発表
メンバーベースの拡大と新しいプロジェクトにより、オープンソース ソフトウェアのセキュリティが継続的に進歩
オープンソースソフトウェア (OSS) の持続可能なセキュリティ確保に取り組むLinux Foundationの業界横断的なイニシアチブ Open Source Security Foundation (OpenSSF) は、 OpenSSF Day Japanにおいて、大手テクノロジー企業からの新メンバーと、新しい一連の「Secure Software Development Guiding Principles (セキュアソフトウェア開発の指針)」を発表した。
OpenSSFの新ゼネラルメンバーにはPatchStack、SparkFabrik、TestifySec、新アソシエイトメンバーにはISC2が含まれる。テクニカル コミュニティは、引き続きオープンソース セキュリティへの投資の重要性を強調しており、OpenSSFは120メンバー企業で年末を迎えた。 コミュニティメンバーは堅牢で活発で安全なオープンソース エコシステムを維持するために、オープンソース コミュニティをサポートし維持する重要な役割を認識している。
OpenSSFのゼネラルマネージャーである Omkhar Arasaratnam は、次のように述べている。
「新しいメンバーがOpenSSFに参加することを嬉しく思います。オープンソース ソフトウェアのセキュリティを確保することは大変な仕事であり、メンバーと協力していくことを楽しみにしています。」
OpenSSFは、東京で開催されるOpen Source Summit JapanでOpenSSF Day Japanを主催している。OpenSSF Dayは、サイバーセキュリティに携わるメンテナー、コントリビューター、その他の関係者が、オープンソースソフトウェア エコシステムを保護するために現在行われている取り組みについて詳しく学ぶことができる素晴らしい機会。スケジュールのハイライトには、悪用されたOSS脆弱性の傾向、悪意のあるパッケージのリポジトリ、日本の産業部門向けのSBOMポリシー、オープンソースセキュリティにおけるグローバルコラボレーションなどに関する20人以上の専門家によるセッションが含まれる。パネルディスカッションでは、より優れたサイバーセキュリティのためのオープンソース、オープンスタンダード、政府指令への対応について議論する。
OpenSSF Day Japanの始まりに際して、Secure Software Development Guiding Principles (セキュアソフトウェア開発の指針をリリースした。これらの10の指針は、それらを活用する組織に、より確かな保証とセキュリティを提供する一連の基本的な実践方法を説明している。 ソフトウェアの生産者と供給者が開発ライフサイクル全体を通じてこれに準拠し従うことを誓約する一連のコアプラクティスを提供した。
OpenSSFはまた、日本語にも翻訳されている「OpenSSFガイド 」に2つの新しいガイドが追加されたことを紹介した。一つは、CVE Numbering Authority (CNA) プログラムを通じて独自のCVE IDを発行および管理することに関心のあるオープンソース プロジェクト向けの新しいガイドである。もう一つは「Compiler Options Hardening Guide for C and C++ (CおよびC++のコンパイラオプション強化ガイド」で、開発者がメモリの安全性の問題やその他のソフトウェアの欠陥に対してソフトウェアを強化するするためのコンパイラオプションについて、情報に基づいた選択を行えるように設計されている。
(* 一部のCNAプログラム ガイドは、現時点では翻訳版は公開されていません。)
先週、LF EnergyとOpenSSFは、オープンソースソフトウェアがエネルギーインフラの革新と変革にとっていかに重要であるかについての新しいホワイトペーパーを発表した。一般的な誤解に反して、OSS は手頃な価格と適応性だけでなく、サイバー脅威に対する堅牢なシールドも提供している。
Alpha-Omegaプロジェクトは最近、HomebrewがSLSAビルドレベル2に到達するための助成金を提供し、2024年もRust Foundationのセキュリティイニシアチブを継続して支援することを発表した。またAlpha-Omegaは、以前の助成金による持続的な効果にも満足している。OpenJS Foundationは、IDCの調査に基づくエンドユーザー監査の結果を発表し、10億のWebサイトの4分の3で古いソフトウェアが実行されていることが示された。また、Eclipse Foundationは、Mosquittoプロジェクトの監査を終了した。
これらの最新の発表は、OpenSSFですでに行われているコラボレーティブな取り組みに基づいており、オープンソースソフトウェアセキュリティに関する米国連邦政府の情報提供要請 (RFI) への回答や、AIサイバーチャレンジ (AIxCC : AIとサイバーセキュリティのつながりでイノベーションを促進し、次世代のサイバーセキュリティツールを作成するすることを目的とした2年間のコンペティションに関する国防高等研究計画局 (DARPA) への支援が含まれている。
OpenSSFのプロジェクトとマイルストーンに関するその他の最新情報は、こちらから