GoogleがオープンソースのためのCERTを開始

　Googleは米国時間5月6日、オープンソースアプリケーションのセキュリティ問題を解決するためのボランティア集団であるoCERTの詳しい計画を発表した。

　この動きには大きな意義がある。コミュニティに支えられているソフトウェアはバグを持っている場合があるが、それらの脆弱性を発見してくれる人たちも抱えている。問題は、それらの課題を実際に解決する中心的な組織が存在しないことだ。

　Googleのセキュリティブログで、Will Drewry氏は次のように述べている。

　GoogleがoCert（オープンソースコンピューター緊急対応チーム）にスポンサーとして参加することをここに発表する。oCERTはオープンソースコミュニティのセキュリティプロフェッショナルからなるボランティア集団であり、オープンソースプロジェクトに対しセキュリティホールの修正とインシデント対応サービスを提供することを目的としている。oCERTはソフトウェアの作者とセキュリティ報告に関する契約を結び、特に作者や報告者がセキュリティに関する経験を持たない場合などに、デバッグとパッチに関する支援を行うことを目指す。可能な限り、プロジェクトやパブリッシャー、ベンダーとの信頼できる契約を維持し、それに基づいて、問題が生じた場合や問題を解決する修正が提供された場合に通知を行う。それに加え、oCERTはサーバのセキュリティ侵害などのインシデントに対する対応に関し、あらゆる規模のプロジェクトを支援する。

　oCERTが行うのは、企業に対しオープンソースに関するセキュリティ情報のレポジトリを提供することだ。これは、パッチサイクルを調べる時などは便利だろう。Dana Blankenhorn氏は、「GoogleのoCERTに対する後援は、オープンソースの歴史の中で大きな出来事だ」と述べている。