Mozillaは、オープンソースソフトウェア(OSS)開発者にセキュリティ監査の資金を提供する「Secure Open Source」(SOS)基金を開設した。
Mozillaのパブリックポリシー統括者であるChris Riley氏が米国時間6月9日に述べたところによると、SOS基金は「Mozilla Open Source Support program」(MOSS)の一環で、自らのオープンソースプロジェクトのセキュリティ向上に支援が必要な応募者に提供されるという。
オープンソースソフトウェアは世界中の企業や政府で幅広く使われており、私たちが今日利用する多くのサービスを支えている。しかし、そうしたソフトウェアのオープンな性質やボランティアへの依存、さらに、多くの場合資金が不足していることが原因で、脆弱性が見逃されることもある。
今後、広範に使用されるオープンソースソフトウェアに影響を及ぼす壊滅的なセキュリティ不具合の予防において、この基金が役割を果たす可能性もある。例えば、「Heartbleed」と「Shellshock」は「Bash」と「OpenSSL」の危険な脆弱性で、さまざまな用途で使用されるソフトウェアやライブラリに影響を及ぼした。
MozillaはSOS基金に50万ドルを割り当てた。Mozillaによると、その基金は広範に使用されているオープンソースライブラリおよびプログラムの監査費用の支払いに使われるという。
「セキュリティは一連のプロセスだ。大きな恩恵を永続的に得るためには、教育やベストプラクティスのほか、多くの分野に投資する必要がある。とはいえ、この基金は必要とされる短期的な援助を提供し、業界の機運にもつながって、オープンソースプロジェクトのセキュリティ強化に寄与するとわれわれは期待している」(Riley氏)
応募者が基金の審査に通った場合、Mozillaはプロのセキュリティ企業と契約し、料金を支払って、そのプロジェクトのコードを精査してもらう。さらに、セキュリティチームと連携して、フィックスの実装と開示の管理も行う。
その作業の検証も行われ、セキュリティ脆弱性が適切に修復されたかどうかが確認される。
Mozillaは3つのオープンソースプログラムで既にこのアイデアをテストしている。具体的には、CライブラリのPCRE、libjpegコードベースのフォークであるlibjpeg-turbo、MySQLデータベース用のウェブベースの管理ツール「phpMyAdmin」の3つだ。
これらの監査で、Mozillaのセキュリティチームは計43個のバグを発見した。それにはPCREに関する1件の深刻な脆弱性も含まれる。
SOS基金への応募はウェブサイトで受け付けている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
