ソーラーウィンズやコロニアルパイプラインなどのセキュリティスキャンダルに続いて、ホワイトハウスは2021年5月の大統領命令でソフトウェアセキュリティを優先することを決定しました。ごく最近、この機関はOpen Source Security Foundation(OpenSSF)およびThe Linux Foundationと協力して、今後2年間でオープンソースの最大のセキュリティ課題に対処するために1億5,000万ドルの資金を要求することを決定しました。
米国政府はプログラムに資金を提供しないようです。そのため、Amazon、Ericsson、Google、Intel、Microsoft、VMwareなどの企業は合計で約3,000万ドルを約束し、Amazon Web Services(AWS)は彼の部分のために追加の1000万。OpenSSFのゼネラルマネージャーであるBrianBehlendorfは、ホワイトハウスの記者会見で、公的資金を調達することは意図されておらず、プログラムの成功に必要であるとは考えていないと語った。
OpenSSFとTheLinuxFoundationによって推進されているプログラムは、次の10の目標を達成するように設計されています。
- 安全なソフトウェア開発のトレーニングと基本的な認定を提供します。
- 10,000のオープンソースコアコンポーネントの客観的な指標に基づいて、ベンダーに依存しない公開のリスクダッシュボードを構築します。
- ソフトウェアリリース全体でのデジタル署名の採用を加速します。
- メモリに安全でない言語を置き換えることで、多くの脆弱性の根本原因を修正します(これは、RustをLinuxカーネルに持ち込むためのプッシュのように聞こえるかもしれません)。
- OpenSSFインシデント対応チームを設立します。このチームは、セキュリティの専門家で構成され、重要な時期にオープンソースプロジェクトを支援し、脆弱性に適切に対応できるようにします。
- 高度なセキュリティツールを使用して、メンテナや専門家による新しい脆弱性の発見を加速します。ここでは、日をゼロに保つために与えられている企業や機関との競争に直面する可能性があります。
- サードパーティのコードおよびその他の作業のレビューと監査を年に1回実施して、200の最も重要なオープンソースコンポーネントをカバーします。
- 最も重要なオープンソースコンポーネントを特定するための調査を改善する方法で、業界のデータ共有を調整します。
- ソフトウェア宣言(SBOM)ツールとトレーニングを強化して、採用を促進します。
- サプライチェーンのセキュリティのベストプラクティスとツールを使用して、ビルドシステム、パッケージマネージャー、配布システムなど、最も重要な10のオープンソースツールを強化します。
セキュリティを向上させるために、オープンソースのセキュリティ会社Chainguardは、開発者がファイル、コンテナイメージ、バイナリなどのソフトウェア成果物に安全に署名できる標準であるSigstoreを作成しました。太陽のための歌であるどころか、Linux Foundation、Red Hat、およびPurdue Universityによって維持されており、Kubernetesによって採用されています。
オープンソースとしてリリースされたソフトウェアのセキュリティは、ここ数十年でますます懸念されています。HeartbleedやApacheLog4jの脆弱性などのスキャンダルは、多くのプロジェクトが適切なレベルのセキュリティを維持するために必要なツールを備えていないことを示しています。したがって、ユーザーや会社が使用するソフトウェアのセキュリティを本当に向上させる場合は、このようなプログラムを歓迎します。
最後に、ホワイトハウスはオープンソースと見た目よりも緊密な関係にあり、Drupalで構築されたモジュールをリリースするまでになっています。Drupalは、まだ使用しているかどうかを知っているCMSです。
コメントを残す