オープンソースソフトウェアは概してプロプライエタリソフトウェアより安全かもしれないが、状況によっては、同じくらい深刻な障害が発生することもある。「OpenSSL」の3つの主要なセキュリティ問題である「Heartbleed」「FREAK」「Logjam」はすべて、そのことを示している。こうした問題の発生を未然に防ぐため、The Linux FoundationのCore Infrastructure Initiative(CII)は3つの新しいセキュリティプロジェクトに50万ドル弱の資金を提供することを発表した。対象のプロジェクトには、新しいオープンソース自動テストプロジェクト、「Reproducible Builds」イニシアチブ、ITセキュリティ研究者Hanno Bock氏の「The Fuzzing Project」がある。さらにThe Linux Foundationは、Linux、システム、クラウドのセキュリティの専門家であるEmily Ratliff氏がインフラストラクチャセキュリティ担当シニアディレクターとしてCIIを監督すると発表した。Ratliff氏はAMDとIBMで20年以上セキュリティに携わってきた人物である。
Reproducible Builds: Reproducible Buildsの目的は、誰もが同じバイナリプログラムをソースコードからビット単位で複製できるようにすることだ。これにより開発者は、バイナリが実際にそのソースコードに由来するものであることを自分で確かめられるようになる。
現在、その作業は非常に困難だ。コンパイラの出力は通常、バージョンによって異なる。そのため、プログラマーが元の構築環境を可能な限り忠実に複製しても、日付と時刻やファイルの順番といった些細な違いによって、異なるバイナリが生成されることもある。このプロジェクトでは、特定の構築環境の記録と復元を容易にし、コンパイルプロセスを完全に決定論的なものにすることを目指している。そのための手段は、差異の排除や標準化だ。
「Debian」の開発者であるHolger Levsen氏とJeremy Bobbio氏は、膨大な数の無料ソフトウェアプロジェクトの構築プロセスから不要な差異を排除するべく、この重要な取り組みを主導している。また、こうした相違点の原因を特定し、インフラストラクチャのアップデートによって、開発者がバイナリディストリビューションの真正性を自ら検証できるようにするツールも開発中だ。
構築プロセス中に不具合が発生しないように徹底することで、ソフトウェアのセキュリティと可制御性が大幅に高まるだろう。Debianではこの取り組みが既にかなり進んでおり、Debianで開発したツールを「Fedora」「Ubuntu」「OpenWrt」などのLinuxディストリビューション向けに提供しようとしている。
The Fuzzing Project: ファジングはソフトウェアをテストする手法だ。ブラックボックステストの一種であり、半ランダムのデータを自動的にプログラムに注入して、バグを検知する。