オープンソースセキュリティ財団(Open Source Security Foundation)が正式に発足しました。この記事では、OpenSSFが設立された理由、設立から6ヶ月で達成したこと、そして将来のビジョンについて説明します。
世界中がオープンソースソフトウェアの概念を推進しているため、オープンソースソフトウェアのセキュリティも非常に重要です。オープンソースソフトウェアのセキュリティを向上させるために多くの取り組みが行われ、いくつかの成果が得られています。Linux FoundationやGitHubのSecurity Labs、Googleなどが作成したものなどです。
これらの成果が統合されれば、ソフトウェア業界がより良くなることは明らかです。この3つの成果は、2020年に「オープンソースソフトウェアセキュリティを推進する業界大手が主導する業界横断コンソーシアム」に統合されました。
OpenSSFには、Canonical、GitHub、Google、IBM、Intel、Microsoft、Red Hatなど数十社のメンバーがいます。コンソーシアムの理事会には、セキュリティ・コミュニティの個人代表も含まれており、コンソーシアムの企業メンバーにはなれない個人もいます。アライアンスは、人々が協力しやすい組織構造も構築しています。アライアンスの存在価値を定義し、メンバーが組織の技術的ビジョンに合意することを期待される、活発なワーキンググループの創設です。
しかし、目に見える結果が出なければ意味がありません。当時は、初期とはいえ、ある程度の結果を出していました。釈放されました:
- セキュアソフトウェア開発の基礎:edXプラットフォームには、ソフトウェア開発者にソフトウェアセキュリティについて教えるための3つの無料コースがあります。これらのコースは、リソースが必要な理論やケーススタディとは対照的に、実践的で、どの開発者にとっても学びやすいものです。開発者は、これらのコースの内容を習得したことを証明するために、お金を払ってテストを受けることもできます。
- : オープン・ソース・プロジェクトの「セキュリティ・スコア」を自動的に生成し、ユーザーが信頼、リスク、セキュリティについて判断するのに役立ちます。
- クリティカリティ・スコア: 多数のパラメータに基づいて、オープンソース・プロジェクトのクリティカリティ・スコアを自動的に生成します。クリティカリティ・スコアにより、世界で最も重要なオープンソース・プロジェクトをより深く理解することができます。
- セーフティ・メトリクス・ダッシュボード:セーフティ・スコアカード、CIIベストプラクティス、その他のデータソースを組み合わせ、OSSプロジェクトに関連する安全性とサポート情報のダッシュボードを提供する先行リリースです。
- OpenSSF CVE ベンチマーキング: ベンチマーキングは、200以上の過去のJavaScript/TypeScriptの脆弱性のコードとメタデータで構成されています。これは、セキュリティチームが市場にある様々なセキュリティツールを評価するのに役立ち、実際のコードベースで誤検知や見逃しを判断することができます。
- OWASPセキュリティ知識フレームワーク:OWASPとの共同作業であるOWASPセキュリティ知識フレームワークは、複数のプログラミング言語におけるチェックリストとクラス最高のコードサンプルを含むプロジェクトを含む知識ベースです。また、特定の言語で安全なコードを書く方法に関する開発者向けのトレーニング資料や、実践的なセキュリティ・ラボも提供しています。
- 年次FOSS貢献者調査報告書: OpenSSFとLISHは、OSSのセキュリティと持続可能性を改善する方法を調査・特定するための基礎として、オープンソースソフトウェアの貢献者を対象とした調査結果の詳細をまとめた報告書を発表しました。調査対象者は合計1200人。
- 脆弱性の開示
- セキュリティツール
- セキュリティのベストプラクティス
- オープンソースプロジェクトにおけるセキュリティ脆弱性の特定
- 重要プロジェクトのセーフガード
- デジタルアイデンティティ
出版されたプロジェクトの継続的なアップデートに加え、将来的には以下のような仕事が考えられます:
- 努力の重複を減らすためには、複数の TI 間で重複し、かつ、リンクしているセキュリティ要件を特定することが重要です。これは、OWASP をリーダーとして共同で開発されたもので、CRE としても知られています。CRE は、規格やプログラムの開発者が効率的に作業できるようにし、規格の利用者がサイバーセキュリティについて同じ理解を持つために必要な情報を検索できるようにする役割を果たす共通のサブジェクト識別子を使用して、規格やガイダンスのさまざまな部分をリンクさせることを目的としています。
- セキュリティ指標ダッシュボードにインストール不要でアクセスできるウェブサイトを構築します。この場合も、さまざまなソースからのデータをシンプルに表示します。
- OSS 主要項目の識別機能の開発。ハーバード大学とLFは、主要なOSSアイテムの特定について、すでにいくつかの作業を行っています。今後1年間で、彼らはその手法を改善し、より良い特定作業につながる新しいデータソースを追加する予定です。
- セキュリティを向上させるために、多くの主要なOSSプロジェクトに資金を提供。財源が十分でないプロジェクトに注意を払い、全体的なパフォーマンスの向上を支援することが期待されます。
- デジタル署名の提出と本人確認のための改善され簡素化された技術を特定し、実装します。
他の Linux Foundation プロジェクトと同様に、OpenSSF の活動はメンバーによって決定されます。もしあなたが、誰もが依存する OSS セキュリティに興味があるなら、OpenSSF のウェブサイトを訪問し、何らかの形で参加することができます。参加する一番良い方法は、ワーキンググループミーティングに参加することです - 隔週で開催され、とても非公式です。隔週で開催され、とてもカジュアルなものです。詳しくは、こちらをご覧ください:
、 Linux Foundationのウェブサイトに掲載されたものです。
