編集部からのお知らせ
オススメ記事選集PDF:MAツールのいま
「これからの企業IT」の記事はこちら

Linux Foundationがオープンソースセキュリティのための団体を設立

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 編集部

2020-08-04 13:52

 オープンソース界を代表する人物の1人であるEric S. Raymond氏は「十分な目ん玉があれば、全てのバグは洗い出される」と述べ、これを「Linusの法則」と呼んだ。これこそが、オープンソースがソフトウェア開発の主流になった理由の1つだ。とはいえ、それだけで十分なわけではない。そのためにはバグを追いかけ、修正する専門家の目が必要であり、作業の重複を避けるための調整作業も必要になる。

 今回、The Linux Foundationが「Open Source Security Foundation」(OpenSSF)を設立したのは、遅すぎたくらいだと言ってもいいかもしれない。OpenSSFは業界横断的な組織であり、オープンソース界の重要な組織を集めて、広がりのあるセキュリティコミュニティーを構築することを目的としている。同団体の活動は、Core Infrastructure Initiative(CII)や、GitHubのOpen Source Security Coalition(OSSC)のほか、GitHubやGitLab、Google、IBM、Microsoft、NCC Group、OWASP Foundation、Red Hat、VMwareなどのオープンソースのセキュリティに精通した企業の取り組みを結集したものだ。

 かつてはオープンソースを目の敵にしていたMicrosoftも、OpenSSFにリソースを投入している。Microsoft Azureの最高技術責任者(CTO)であるMark Russinovich氏はブログ記事で、これまでにもMicrosoftは複数のオープンソースのイニシアチブに関わっており、OpenSSFの下でこれらをまとめていくとしている。同社は以下のような分野でOSSCと協力してきた。

オープンソースプロジェクトに存在するセキュリティ上の脅威の発見

 開発者がオープンソースソフトウェアのエコシステムに存在するセキュリティ上の脅威について理解し、それらの脅威が特定のオープンソースプロジェクトにどのような影響を与えるかを理解するのを助ける。

セキュリティツールの整備

 オープンソース開発者に最高のセキュリティツールを提供し、広くアクセスできるようにする。また、メンバーが協力して既存のセキュリティツールを改善したり、より幅広いオープンソースコミュニティーのニーズに合わせて新しいツールを開発したりすることができる場を作る。

セキュリティのベストプラクティス

 オープンソース開発者に、推奨されるベストプラクティスを簡単に学習し、適用する手段を提供する。さらに、私たちはベストプラクティスをオープンソース開発者に広めることに力を入れており、そのために効果的な学習プラットフォームを利用する。

脆弱性情報の開示

 脆弱性の修正とエコシステム全体でのパッチの展開を、数カ月単位ではなく、数分単位で行えるオープンソースソフトウェアのエコシステムを構築する。

 OpenSSFのガバナンス、技術コミュニティーの運営、意思決定は透明性のある形で進められる。また、同団体が作る仕様やプロジェクトはベンダーに依存しないものになる。さらに同団体は、万人のためにオープンソースのセキュリティを高めることを目的として、アップストリームコミュニティーと既存のコミュニティーの両方と協力して行くという。

 OpenSSFが手掛けるオープンソースセキュリティに関する取り組みは、GitHubでホストされる予定だ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法

  2. クラウドコンピューティング

    AWS資料、ジョブに特化した目的別データベースを選定するためのガイド

  3. セキュリティ

    Zero Trust Workbook--ゼロ トラストの先にある世界を知るためのガイダンス

  4. セキュリティ

    「ゼロトラスト」時代のネットワークセキュリティの思わぬ落とし穴に注意せよ

  5. クラウドコンピューティング

    データ駆動型の組織でビジネスの俊敏性を実現するには?戦略的な意思決定とイノベーションを両立へ

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]