Linux FoundationとOpenSSF、業界と政府のリーダーを集めたオープンソースソフトウェアセキュリティサミットII を開催
PR TIMES / 2022年5月18日 15時40分
10項目のオープンソースおよびソフトウェアサプライチェーン セキュリティ行動計画をリリース、初回の資金提供は3,000万ドル以上に
Linux FoundationとOpen Source Software Security Foundation (OpenSSF) は5月12日 (現地時間)、オープンソースソフトウェアのレジリエンスとセキュリティ向上のために取るべき主要行動について合意するために、37社90人以上の企業幹部、および政府指導者を招集し、オープンソースソフトウェア セキュリティサミットII を開催しました。オープンソースとソフトウェア サプライチェーン セキュリティに幅広く対応する10項目の行動計画を発表しました。
本アナウンスは https://www.linuxfoundation.org/press-release/linux-foundation-openssf-gather-industry-government-leaders-open-source-software-security-summit/ の参考訳です。
2022年5月12日 ワシントンD.C.発 ー Linux Foundation ( https://www.linuxfoundation.org/ ) とOpen Source Software Security Foundation (OpenSSF https://openssf.org/ ) は、オープンソースソフトウェアのレジリエンスとセキュリティ向上のために取るべき主要行動について合意するために、37社90人以上の企業幹部、NSC、ONCD、CISA、NIST、DOE、OMBから政府指導者を集めました。
オープンソースソフトウェア セキュリティサミットII は、2022年1月13日に開催されたホワイトハウス国家安全保障会議による第1回サミットに続くものです。今回は、バイデン大統領の「国家サイバーセキュリティ改善に関する大統領令 ( https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/ )」1周年の記念日にLinux FoundationとOpenSSFにより招集されました。
Linux FoundationとOpenSSFは、あらゆるセクターからの情報提供を受けて、オープンソースとソフトウェア サプライチェーン セキュリティに幅広く対応する、これまでにない計画を策定しました。サミット II 計画は、計画が特定する10項目の主要な問題に対して十分に精査された解決策を迅速に進めるために、2年間で約1億5,000万ドルのファンディングを概算しています。10項目の投資の流れには、より迅速な改善と、よりセキュアな未来への強固な基盤作り両方のための具体的なアクションプランが含まれています。
参加組織の一部は、計画の実施に向けた最初の資金提供を誓約するために集まりました。これらの企業は、Amazon、Ericsson、Google、Intel、Microsoft、VMWareであり、3,000万ドル以上を約束しています。 計画がさらに進展するにつれて、より多くの資金が特定され、個々の流れが合意されたときに作業が開始されます。
これは、OpenSSFコミュニティメンバーがオープンソース ソフトウェアに対して行っている既存の投資に基づいています。 Linux Foundationのステークホルダーの非公式な調査によると、1億1000万ドル以上を費やし、オープンソースソフトウェアランドスケープの保護に焦点を当てた100人近くのフルタイム相当の従業員を雇用しています。 この計画はそれらの投資に追加されます。
おもなバックグラウンド
10項目計画の3つの目標
オープンソース セキュリティ製品の保護
安全なソフトウェア開発の基本となる教育と認定を、プロフェッショナルなOSS開発者のための新しい標準にする。
上位 10,000 のオープンソース コンポーネントについて、ベンダーニュートラルで客観的な指標に基づく公開のリスク評価ダッシュボードを確立する。
ソフトウェアリリースにおけるデジタル署名の採用を促進する。
メモリセーフでない言語を置き換えることにより、多くの脆弱性の根本原因を排除する。
脆弱性検出と修正の強化
メンテナーや専門家による新しい脆弱性の発見を加速させる。
オープンソース プロジェクトが危機的状況のときに支援する「ボランティア消防士」のセキュリティ専門家部隊を設立する。
最も重要なオープンソース ソフトウェア コンポーネント200件について、サードバーティによるコードレビュー(および必要な修正作業)を毎年実施する。
業界全体のデータ共有を調整し、最も重要なオープンソース ソフトウェアを決定するのに役立つ調査を改善する。
エコシステムのパッチング レスポンス タイムの短縮
ソフトウェア部品表 (SBOM) の普及 – SBOMツールとトレーニングを改善し普及を促進する。
より優れたサプライチェーン セキュリティ ツールとベストプラクティスで、最も重要な10件のオープンソース ソフトウェア ビルド システム、パッケージ マネージャー、ディストリビューション システムを強化する。
10項目計画の概要
セキュリティ教育:安全なソフトウェア開発の基本となる教育と認定を、すべての人に提供する。
リスク評価:トップ1万件(またはそれ以上)のOSSコンポーネントについて、一般に公開され、ベンダーニュートラルで、客観的指標に基づくリスク評価ダッシュボードを確立する。
デジタル署名:ソフトウェア リリースにおけるデジタル署名の採用を加速させる。
メモリの安全性:メモリセーフでない言語を置き換えることにより、多くの脆弱性の根本原因を排除する。
インシデントへの対応:OpenSSF Open Source Security Incident Response Team(OpenSSF オープンソース セキュリティ インシデント対応チーム:脆弱性対応の重要な時期に、オープンソースプロジェクトを支援できるセキュリティ専門家の集団)を設置する。
スキャン機能の向上:高度なセキュリティツールと専門家によるガイダンスを通じて、メンテナーや専門家による新しい脆弱性の発見を加速させる。
コード監査:最も重要なOSSコンポーネントの最大200件について、サードパーティのコードレビュー(および必要な修正作業)を年に1回実施する。
データ共有:業界全体のデータ共有を調整し、最も重要なOSS コンポーネントを決定するのに役立つ調査を改善する。
SBOMの普及:SBOMツールとトレーニングを改善して採用を促進する。
サプライチェーンの改善:より優れたサプライチェーン セキュリティ ツールとベストプラクティスで、最も重要な10件のOSS ビルド システム、パッケージ マネージャー、ディストリビューション システムを強化する。
コメント
Jim Zemlin – Executive Director, Linux Foundation: 「バイデン大統領の大統領令から1周年を迎えた今日、私たちは実行可能な計画で対応するためにここにいます。なぜなら、オープンソースは私たちの国家安全保障にとって重要な要素であり、今日のソフトウェアのイノベーションに何十億ドルも投資されている基礎となるものだからです。私たちは、集団でサイバーセキュリティの回復力を高め、ソフトウェア自体への信頼を向上させるという共通の義務を負ってます。この計画は、私たちの統一された声と共通の行動への呼びかけを表しています。これからの最重要課題はリーダーシップです。」
Brian Behlendorf – Executive Director, Open Source Security Foundation (OpenSSF): 「私たちがここで一緒にやっていることは、何が問題でそれを解決するために何ができるかという一連のアイデアと原則を集約することです。私たちがまとめた計画は、その開始点として地上に立てた10本の旗です。計画を行動に移せるようなさらなる意見とコミットメントを得ることを切望しています。」
関係各社からのコメントはこちらをご参照ください : https://www.linuxfoundation.org/press-release/linux-foundation-openssf-gather-industry-government-leaders-open-source-software-security-summit/
プレス ブリーフィング ー オープンソースソフトウェア セキュリティサミットII
[動画: https://www.youtube.com/watch?v=3-Pu9bbgCTE ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
オープンソースプロジェクトのソーシャルエンジニアリングに警戒を - OpenSSF/OpenJS
マイナビニュース / 2024年4月23日 15時43分
-
LF Resarch 調査レポート「共通の課題に立ち向かう:2023年 Open Source Congress レポート」を公開
PR TIMES / 2024年4月17日 18時15分
-
5月13日開催 OSSセキュリティMeetup ご案内 : ゼネラルマネージャーOmkhar来日+SOSS Community Day North America イベントレポート
PR TIMES / 2024年4月15日 15時45分
-
モンタビスタ、CGX 5.0 を発表 組込み向け、AI対応 セキュア・バイ・デザインのLinux(R)プラットフォーム
@Press / 2024年4月15日 13時0分
-
TODOグループ & LF Resarch 調査レポート「2023年 OSPOおよびOSSイニシアチブの現状」を公開
PR TIMES / 2024年3月28日 16時40分
ランキング
-
1アキレス、シューズの国内生産終了へ コスト増や少子化など背景
ロイター / 2024年4月25日 16時27分
-
2山手線沿線の再開発が進む 「新宿、渋谷、品川」駅の工事はいつ終わるのか
ITmedia ビジネスオンライン / 2024年4月25日 7時10分
-
3イトーヨーカドー、祖業のアパレル復活なるか アダストリアとの新ブランドが生んだ“相乗効果”
ITmedia ビジネスオンライン / 2024年4月25日 10時0分
-
4過度の変動望ましくない、動向注視し万全の対応行う=円安で官房長官
ロイター / 2024年4月25日 11時35分
-
5サイゼリヤ、ギリギリ「国内黒字化」も残る難題 国内事業の利益率0.05%、値上げなしで大丈夫か
東洋経済オンライン / 2024年4月24日 7時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください