Linux Foundation とハーバード大学イノベーションサイエンス研究所がオープンソース ソフトウェア セキュリティのための調査結果を発表
PR TIMES / 2020年2月20日 14時35分
最も広く使用されているソフトウェアを特定し、世界最大の共有リソースを将来的に保護するための重要な課題を明示
極めて重要なオープンソース ソフトウェア プロジェクトのベストプラクティスとセキュリティのサポートを支援する Linux Foundation のプロジェクト Core Infrastructure Initiative (CII) と、ハーバード大学 イノベーションサイエンス研究所 (LISH) は 2月18日 (現地時間)、Vulnerabilities in the Core, Preliminary Report and Census II of Open Source Software のリリースを発表しました。
[画像: https://prtimes.jp/i/42042/90/resize/d42042-90-458326-0.jpg ]
2020年2月18日 サンフランシスコ発 ー 極めて重要なオープンソース ソフトウェア プロジェクトのベストプラクティスとセキュリティのサポートを支援する Linux Foundation のプロジェクト Core Infrastructure Initiative (CII) と、ハーバード大学 イノベーションサイエンス研究所 (LISH) は、Vulnerabilities in the Core, Preliminary Report and Census II of Open Source Software ( https://www.coreinfrastructure.org/programs/census-program-ii/ ) のリリースを発表しました。
Census II 分析・レポートは、オープンソースが普及しつつも常に理解されているわけではない現代のサプライチェーンにおいて、構造とセキュリティの複雑さを理解し対処するための重要なステップを示しています。Census II は、製品アプリケーションに最も一般的に使用されている FOSS (free and open source software) コンポーネントを特定し、潜在的な脆弱性の調査を行います。これによりFOSSの長期的なセキュリティと健全性を維持するためのアクションを通知できます。Census I (2015 https://www.coreinfrastructure.org/programs/census-program-i/ ) では、Debian Linux ディストリビューションのどのソフトウェア パッケージがカーネル オペレーションとセキュリティにとって最もクリティカルであるかを特定しました。
Linux Foundation のエグゼクティブ ディレクターである Jim Zemlin は、次のように述べています。
「Census II レポートは、グローバル サプライチェーンのオープンソース ソフトウェア パッケージやコンポーネント間の複雑さと相互依存性を理解しようとする際に直面する最も重要な課題のいくつかに対処しています。レポートは、共有ソフトウェアと潜在的な脆弱性のインベントリを提供しはじめます。これらのプロジェクトについてより深く理解するはじめの一歩であり、これにより私たちはソフトウェアの信頼と透明性をもたらすツールや標準規格を作成することができます。」
Linux Foundationとハーバード大学は、Software Composition Analysis (SCAs) および開発者のためのセキュリティ企業 Snyk ( https://snyk.io/ ) や Synopsys Cybersecurity Research Center (CyRC https://www.synopsys.com/software-integrity/cybersecurity-research-center.html ) を含むアプリケーション セキュリティ企業と協力し、プライベート使用のデータと公開されているデータセットを組み合わせて、最も使用されている200以上のオープンソース ソフトウェア プロジェクトをを特定する方法論を開発することができました。このうちの20プロジェクトに関する調査結果と、各プロジェクトの詳細を含む方法論とリストはレポートで紹介されています。
ハーバード ビジネス スクールの教授であり Census II 共同ディレクターの Frank Nagle 氏は、次のように述べています。
「FOSS は長い間、ホビイストなどが楽しむ趣味の領域とみなされてきました。しかし今では現代の経済に不可欠なコンポーネントであり、スマートフォン、自動車、IoTなど、非常に多くのクリティカルなインフラストラクチャの日常のテクノロジーの基礎的なビルディングブロックになっています。どのコンポーネントが最も広く使用され、最も脆弱であるかを理解することは、エコシステムとデジタル経済の継続的な健全性を確保するのに役立ちます。」
FOSS はすべてのソフトウェアの80~90%を占めており ( https://www.sonatype.com/hubfs/SSC/Software_Supply_Chain_Inforgraphic.pdf?t=1468857601884 ) 、何の FOSS が最も使用され、どこで攻撃に対して脆弱になり得るかを理解することがこれまで以上に重要になります。この重要性が増していることは、米国政府機関がソフトウェア部品表 (SBOM) を介してさまざまなパッケージやデバイスを構成するソフトウェア ビルディング ブロックに対する深い洞察を求めていることに裏付けられます。例えば米国議会下院エネルギー商業委員会のリーダーは 2018年4月 Linux Foundation に手紙を送り、FOSS の重要性を認識し、FOSS に関連する機会と課題を考察しました。
経済全体にわたるFOSSの重要性の高まりは、OpenSSL 暗号ライブラリの Heartbleed セキュリティバグが発見された 2014年に決定的に明らかになりました。ある推定によると ( https://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html )、このバグはインターネット上の安全なWebサーバーの 20% 近くまたは 50万件に影響を与えました。この件が設立以来 6年間でオープンソース セキュリティのために数百万ドルを集めた Core Infrastructure Initiative のきっかけとなりました。
Jim Zemlin は、次のように述べています。
「オープンソースは今日の経済において紛れもなく重要な要素であり、グローバルな商取引の大部分を支えています。サプライチェーン全体で数十万のオープンソース ソフトウェア パッケージが製品アプリケーションに含まれており、脆弱性について評価する必要があるものを理解することが、オープンソース ソフトウェアの長期的なセキュリティと持続可能性を確保するための最初のステップになります。」
パートナーの声 (原文)
Snyk
“The Snyk security team understands how complex and challenging it is to sustain a database with highly actionable, accurate, and timely vulnerability information,” said Snyk’s Co-founder, Danny Grander, a veteran security researcher who leads Snyk’s security team.
“We’ve worked closely with the Linux Foundation for many years on important research and security initiatives to help mitigate the risk involved in application development. Our team is proud to contribute Snyk’s proprietary, enriched data to the new Census II report, recognizing that industry-wide efforts like this are beneficial to improving the security and viability of open source.”
Synopsys
“Considering the ubiquity of open source software and the essential role it plays in the technology powering our world, it is more important than ever that we take a collaborative approach to maintain the long term health of the most foundational open source components,” said Tim Mackey, principal security strategist for the Synopsys Cybersecurity Research Center. “Identifying the most pervasive FOSS components in commercial software ecosystems, combined with a clear understanding of both their security posture and the communities who maintain them, is a critical first step. Beyond that, commercial organizations can do their part by conducting internal reviews of their open source usage and actively engaging with the appropriate open source communities to ensure the security and longevity of the components they depend on.”
Linux Foundationについて
2000年に設立されたLinux Foundationは、1,000を超えるメンバーによってサポートされており、オープンソース ソフトウェア、オープン スタンダード、オープン データ、およびオープン ハードウェアに関するコラボレーションにおいて世界をリードしています。Linux、Kubernetes、Node.jsをはじめとするLinux Foundationのプロジェクトは、世界のインフラに必要不可欠な存在です。Linux Foundationは、ベスト プラクティスを活用し、貢献者、ユーザー、およびソリューション プロバイダーのニーズに対応することにより、サステナブルなオープン コラボレーション モデルを生み出します。詳細については、www.linuxfoundation.org をご覧ください。
ハーバード大学イノベーションサイエンス研究所について
ハーバード大学イノベーションサイエンス研究所 (LISH) は、現実社会のイノベーション課題を解決し同時に正確な科学研究を実施する体系的なプログラムを通じてイノベーション科学の発展を促進しています。LISH はこれまで NASA、ハーバードメディカルスクール、ブロード研究所、スクリプス研究所など、航空宇宙や医療分野の主要パートナーと協力して複雑な問題を解決し、影響力の強いソリューションを開発してきました。詳細は https://lish.harvard.edu/ をご覧ください。
###
The Linux Foundation はさまざまな商標を登録および使用しています。The Linux Foundation の商標一覧はこちらのページ ( https://www.linuxfoundation.jp/trademark-usage/ ) でご確認いただけます。
Linux は Linus Torvalds の登録商標です。
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
xzを悪用したサプライチェーン攻撃の顛末、今後も同様の攻撃継続の恐れ
マイナビニュース / 2024年5月7日 10時47分
-
オープンソースプロジェクトのソーシャルエンジニアリングに警戒を - OpenSSF/OpenJS
マイナビニュース / 2024年4月23日 15時43分
-
開発者の8割がDevOps関連の活動を実践するも課題 - Linux Foundation Japan
マイナビニュース / 2024年4月18日 17時56分
-
LF Resarch 調査レポート「共通の課題に立ち向かう:2023年 Open Source Congress レポート」を公開
PR TIMES / 2024年4月17日 18時15分
-
5月13日開催 OSSセキュリティMeetup ご案内 : ゼネラルマネージャーOmkhar来日+SOSS Community Day North America イベントレポート
PR TIMES / 2024年4月15日 15時45分
ランキング
-
1初めての上京での住まい、失敗したことは? 3位「間取りが不便」、2位「想像より狭かった」、1位は?
J-CAST会社ウォッチ / 2024年5月12日 21時15分
-
2無味のミネラルウォーターが若年層に好まれる理由 23年過去最高の販売実績を記録した「サントリー天然水」 ブランドの牽引役は天然水本体
食品新聞 / 2024年5月12日 17時1分
-
3危険な「第4種踏切」なぜ無くならない? 事故が起きてから重い腰を上げる行政
乗りものニュース / 2024年5月12日 9時42分
-
4中央線「グリーン車導入」の増収効果は?JR東日本が明らかに 投資額は約860億円
乗りものニュース / 2024年5月13日 7時12分
-
5「サイゼが潰れたら喜ばしい」創業者が語る真意 「世の中が良くなることは、すべて最高だ」
東洋経済オンライン / 2024年5月12日 12時20分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください