モジラ、OSSのセキュリティ監査を支援する基金を開設

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2016-06-13 11:13

 Mozillaは、オープンソースソフトウェア(OSS)開発者にセキュリティ監査の資金を提供する「Secure Open Source」(SOS)基金を開設した。

 Mozillaのパブリックポリシー統括者であるChris Riley氏が米国時間6月9日に述べたところによると、SOS基金は「Mozilla Open Source Support program」(MOSS)の一環で、自らのオープンソースプロジェクトのセキュリティ向上に支援が必要な応募者に提供されるという。

 オープンソースソフトウェアは世界中の企業や政府で幅広く使われており、私たちが今日利用する多くのサービスを支えている。しかし、そうしたソフトウェアのオープンな性質やボランティアへの依存、さらに、多くの場合資金が不足していることが原因で、脆弱性が見逃されることもある。

 今後、広範に使用されるオープンソースソフトウェアに影響を及ぼす壊滅的なセキュリティ不具合の予防において、この基金が役割を果たす可能性もある。例えば、「Heartbleed」と「Shellshock」は「Bash」と「OpenSSL」の危険な脆弱性で、さまざまな用途で使用されるソフトウェアやライブラリに影響を及ぼした。

 MozillaはSOS基金に50万ドルを割り当てた。Mozillaによると、その基金は広範に使用されているオープンソースライブラリおよびプログラムの監査費用の支払いに使われるという。

 「セキュリティは一連のプロセスだ。大きな恩恵を永続的に得るためには、教育やベストプラクティスのほか、多くの分野に投資する必要がある。とはいえ、この基金は必要とされる短期的な援助を提供し、業界の機運にもつながって、オープンソースプロジェクトのセキュリティ強化に寄与するとわれわれは期待している」(Riley氏)

 応募者が基金の審査に通った場合、Mozillaはプロのセキュリティ企業と契約し、料金を支払って、そのプロジェクトのコードを精査してもらう。さらに、セキュリティチームと連携して、フィックスの実装と開示の管理も行う。

 その作業の検証も行われ、セキュリティ脆弱性が適切に修復されたかどうかが確認される。

 Mozillaは3つのオープンソースプログラムで既にこのアイデアをテストしている。具体的には、CライブラリのPCRE、libjpegコードベースのフォークであるlibjpeg-turbo、MySQLデータベース用のウェブベースの管理ツール「phpMyAdmin」の3つだ。

 これらの監査で、Mozillaのセキュリティチームは計43個のバグを発見した。それにはPCREに関する1件の深刻な脆弱性も含まれる。

 SOS基金への応募はウェブサイトで受け付けている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  2. セキュリティ

    MDMのよくある“12の悩み”を解決!Apple製品のMDMに「Jamf」を選ぶべき理由を教えます

  3. ビジネスアプリケーション

    生成AIをビジネスにどう活かす?基礎理解から活用事例までを網羅した実践ガイド

  4. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  5. セキュリティ

    「100人100通りの働き方」を目指すサイボウズが、従業員選択制のもとでMacを導入する真の価値

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]