OpenSSFは、ソフトウェアセキュリティの専門家の直接の関与と自動化されたセキュリティテストを通じてオープンソースソフトウェア(OSS)のセキュリティを向上させるために、 Alpha-Omegaプロジェクトの立ち上げを発表しました。500万ドルの初期投資で、マイクロソフトとグーグルは最新のプロジェクトへのサポートを示しました。
OpenSSFゼネラルマネージャーのブライアンベーレンドルフは次のように述べています。
オープンソースソフトウェアを今日の社会の重要なインフラストラクチャの重要なコンポーネントとして認識し、それを安全に保ち、ソフトウェアサプライチェーンを安全に保つために必要なすべての対策を講じる必要があります。Alpha-Omegaは、脆弱性を積極的に見つけ、パッチを適用し、防止することでオープンソースプロジェクトのセキュリティを直接改善することにより、これらの取り組みをオープンかつ透過的にサポートします。これは、OpenSSFがOSSセキュリティ改善の主要な導管になることを望んでいることの始まりです。
Alpha-Omegaプロジェクトは、「オープンソースコードの新しい、まだ発見されていない脆弱性を体系的に発見し、プロジェクトメンテナと協力してそれらを修正する」ことにより、グローバルOSSサプライチェーンのセキュリティを向上させることを目的としています。
MicrosoftAzureのCTOであるMarkRussinovich氏は次のように述べています。
マイクロソフトでは、OpenSSFとAlpha-Omegaプロジェクトをサポートできることを誇りに思っています。オープンソースソフトウェアは当社の技術戦略の重要な部分であり、すべてのソフトウェア依存関係に伴うセキュリティリスクを理解することが不可欠です。Alpha-Omegaは、メンテナとの直接のやり取りと、重大な脆弱性を検出して修正するための最先端のセキュリティツールの使用を通じて、主要なオープンソースプロジェクトに信頼と透明性を提供します。この重要なイニシアチブについて、業界パートナーやオープンソースコミュニティと協力することを楽しみにしています。」
Alphaは、スタンドアロンプロジェクトやコアエコシステムサービスを含む最も重要なオープンソースプロジェクトのメンテナがセキュリティの脆弱性を特定して修正し、セキュリティレベルを向上させるのに役立ちます。これらのプロジェクトは、専門家の意見とデータを組み合わせて、OpenSSFクリティカルプロジェクトセキュリティワーキンググループの作業に基づいて選択されます。
Omegaは、「オープンソースコミュニティに自動化されたセキュリティ分析、評価、および修復の推奨事項を適用できる、広く展開されているOSSプロジェクトを少なくとも10,000件特定します。」Omegaソフトウェアエンジニアリングチームは、分析パイプラインを調整して、誤検知を減らし、新しい脆弱性を発見します。
GoogleのインフラストラクチャおよびリサーチフェローであるEricBrewerは、オメガについて次のように述べています。
重要なオープンソースソフトウェアのロングテールであるこの取り組みの「オメガ」は、常に最も難しい部分です。多額の資金と忍耐力が必要になるだけでなく、その規模は、脆弱性を追跡して完全にするための広範な自動化にもつながります。自動化を含めることは、オープンソースセキュリティの最大の改善点の1つになります。
Alpha-Omegaプロジェクトの詳細については、こちらからOpenSSFメーリングリストにサインアップしてください。
コメントを残す