オープンソースソフトウェアのセキュリティ強化へ、米政府機関や企業のリーダーが会合

今回は「オープンソースソフトウェアのセキュリティ強化へ、米政府機関や企業のリーダーが会合」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　オープンソースソフトウェアのサプライチェーンのセキュリティを保護することは非常に重要だ。Joe Biden政権は2021年、米国のサイバーセキュリティ対策の強化を目指す大統領令を出した。米南東部で石油の流通を一時停止する事態に至った石油パイプライン大手Colonial Pipelineへのランサムウェア攻撃や、SolarWindsのソフトウェアサプライチェーンに対する攻撃が発生していたためだ。ソフトウェアのセキュリティ保護は最優先事項となった。それを受けて、Open Source Security Foundation（OpenSSF）とThe Linux Foundationは、このような難題に対応している。両組織が先週開催した「オープンソースソフトウェアセキュリティサミットII」には、37社の企業幹部や米国家安全保障局（NSA）、米サイバーセキュリティ・インフラセキュリティ庁（CISA）、米国標準技術研究所（NIST）など政府機関のリーダーが集った。サミットでは、オープンソースとソフトウェアサプライチェーンのセキュリティに対応することを目的とし、2年間で1億5000万ドル（約200億円）の資金を活用して、10件の重要な問題への解決策を強化するための概要について計画された。

　両組織にはさらなる資金が必要になるだろう。

　政府ではなく、Amazon、Ericsson、Google、Intel、Microsoft、VMWareなどが3000万ドル（約38億円）の提供を約束している。さらに、Amazon Web Services（AWS）は、OpenSSFへの出資を拡大し、今後3年で1000万ドル（約13億円）を出資すると約束している。

　OpenSSFのゼネラルマネージャーBrian Behlendorf氏は、ホワイトハウスでの記者会見で、「はっきりさせておきたいのは、われわれは政府から資金を調達するために来たのではないということだ。成功するために、政府に直接資金提供を求める必要が生じることは想定していなかった」と述べた。

　OpenSSFは、オープンソースのセキュリティ強化に向け、投資対象と想定する10の項目を以下の通り挙げている。

　また、ホワイトハウスオープンソースセキュリティサミットの一環として、オープンソースセキュリティ企業のChainguardはソフトウェア業界に対し、「sigstore」の標準化を求めている。sigstoreは、ソフトウェアの暗号署名を簡単に導入できるようにし、ソフトウェアサプライチェーンのセキュリティを改善することを目指したものだ。開発者がリリースファイル、コンテナーイメージ、バイナリーなどのソフトウェアのアーティファクトに安全に署名できるようにする。The Linux Foundation、Red Hat、Google、パデュー大学が立ち上げたプロジェクトだ。Kubernetesは既にsigstoreを採用している。

　JFrogのデベロッパーリレーション担当バイスプレジデントStephen Chin氏は、「オープンソースは常にモダナイゼーションの種のように受け取られているが、最近のソフトウェアサプライチェーン攻撃の増加は、オープンソースリポジトリーを検証するプロセスを一層強化する必要があることを示している」と述べている。