Pythonは、Google Cloudにとって極めて重要なプログラミング言語であり、従ってGoogle Cloudのユーザーにとっても重要な存在だ。またこの言語は、同社の社内で多くの主要な製品やサービスに使用されている。
Googleは、Python Software Foundation(PSF)が進めているPythonエコシステムのサプライチェーンのセキュリティを改善することを狙った幾つかのプロジェクトに、35万ドル(約3600万円)の寄付を行うことを明らかにした。PSFはPythonのサポートを行っている非営利団体だ。
GoogleのPSFに対する支援は3つの分野を対象としたもので、これにはPythonのアドオンを提供しているPSFの公式リポジトリー「Python Package Index」(PyPI)経由でマルウェアが広がるのを防ぐことも含まれている。
支援対象となるのは、PyPIのマルウェアの検出、Pythonの主なツールやサービスの改善、2021年の間CPython(Core Python)の開発に従事する専従開発者1人の雇用だ。
専従開発者は、CPythonプロジェクトのメンテナンスの優先順位付けと未処理の問題の解決を支援するためにフルタイムで働く。
Python Steering CouncilとPython Software Foundationは、協力してCPythonのタスクの優先順位付けや未処理の問題をどうすれば解決できるかを支援する開発者を雇用する。
この開発者はまた、CPythonの現状を把握するためにメンテナーに対して調査を行い、その調査結果は将来の資金やボランティアの時間を効果的に配分するために使用される。
PSFの説明によれば、Googleの資金は重要なサプライチェーンのセキュリティの改善に使用され、これにはPyPIのマルウェア検出の仕組みの開発、ディストリビューションの動的分析インフラのプロトタイプ、その他の基本的なツールの改善が含まれるという。
ソフトウェアに対するサプライチェーン攻撃は、エンタープライズソフトウェアメーカーのSolarWindsがハッキングされたことで注目を集めている。この攻撃では、同社のインフラ監視ソフトウェア製品である「Orion」のソフトウェアアップデートが利用され、多くの組織にバックドアが仕込まれた。
Pythonのパッケージは、金融業界を標的としたマルウェアの配布にも利用されている。
Googleは2020年からPSFのスポンサーとなっており、最初の「ビジョナリースポンサー」となった。
またGoogleは、Google CloudのインフラをPSFに寄贈しており、「Python Package Index」などを含む、PSFの運営をサポートしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
