オープンソース界を代表する人物の1人であるEric S. Raymond氏は「十分な目ん玉があれば、全てのバグは洗い出される」と述べ、これを「Linusの法則」と呼んだ。これこそが、オープンソースがソフトウェア開発の主流になった理由の1つだ。とはいえ、それだけで十分なわけではない。そのためにはバグを追いかけ、修正する専門家の目が必要であり、作業の重複を避けるための調整作業も必要になる。
今回、The Linux Foundationが「Open Source Security Foundation」(OpenSSF)を設立したのは、遅すぎたくらいだと言ってもいいかもしれない。OpenSSFは業界横断的な組織であり、オープンソース界の重要な組織を集めて、広がりのあるセキュリティコミュニティーを構築することを目的としている。同団体の活動は、Core Infrastructure Initiative(CII)や、GitHubのOpen Source Security Coalition(OSSC)のほか、GitHubやGitLab、Google、IBM、Microsoft、NCC Group、OWASP Foundation、Red Hat、VMwareなどのオープンソースのセキュリティに精通した企業の取り組みを結集したものだ。
かつてはオープンソースを目の敵にしていたMicrosoftも、OpenSSFにリソースを投入している。Microsoft Azureの最高技術責任者(CTO)であるMark Russinovich氏はブログ記事で、これまでにもMicrosoftは複数のオープンソースのイニシアチブに関わっており、OpenSSFの下でこれらをまとめていくとしている。同社は以下のような分野でOSSCと協力してきた。
オープンソースプロジェクトに存在するセキュリティ上の脅威の発見
開発者がオープンソースソフトウェアのエコシステムに存在するセキュリティ上の脅威について理解し、それらの脅威が特定のオープンソースプロジェクトにどのような影響を与えるかを理解するのを助ける。
セキュリティツールの整備
オープンソース開発者に最高のセキュリティツールを提供し、広くアクセスできるようにする。また、メンバーが協力して既存のセキュリティツールを改善したり、より幅広いオープンソースコミュニティーのニーズに合わせて新しいツールを開発したりすることができる場を作る。
セキュリティのベストプラクティス
オープンソース開発者に、推奨されるベストプラクティスを簡単に学習し、適用する手段を提供する。さらに、私たちはベストプラクティスをオープンソース開発者に広めることに力を入れており、そのために効果的な学習プラットフォームを利用する。
脆弱性情報の開示
脆弱性の修正とエコシステム全体でのパッチの展開を、数カ月単位ではなく、数分単位で行えるオープンソースソフトウェアのエコシステムを構築する。
OpenSSFのガバナンス、技術コミュニティーの運営、意思決定は透明性のある形で進められる。また、同団体が作る仕様やプロジェクトはベンダーに依存しないものになる。さらに同団体は、万人のためにオープンソースのセキュリティを高めることを目的として、アップストリームコミュニティーと既存のコミュニティーの両方と協力して行くという。
OpenSSFが手掛けるオープンソースセキュリティに関する取り組みは、GitHubでホストされる予定だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
