コミュニティのインフラ - The Linux Foundation

オープンソースエコシステムには、開発者やユーザーに不可欠な存在であるにもかかわらず、必要なインフラ資源を確保できないプロジェクトが多く存在します。The Linux Foundation は、そのようなさまざまなプロジェクトに助成金と要員を提供することで、安全で安定した安心なインターネット環境の実現を支援しています。

The Linux Foundation は、クリティカルなプロジェクトが活発に運営を続けるための重要な資源を提供しています。Linux カーネルに対しては大きな経済的支援を行っていますが、これ以外にも多くのプロジェクトを支援しています。これらの支援プログラムは、安全で安心なインターネット環境を拡大していくために必要であると同時に、インフラに取り組む開発者に重要なソフトウェアを構築するための手段を提供します。

The Linux Foundation は、Open Printing、OpenChain、SPDX、Core Embedded Linux など多くのコミュニティワークグループに対して、フルタイムの技術サポートやハードウェア・ソフトウェアを提供しています。また、オープンソースセキュリティの強化のために、Core Infrastructure Initiative (CII) を経由していくつかの重要プロジェクトを取り上げ、開発資金を投入しています。それによって、OpenSSLでは 2 名のフルタイム開発者が資金提供を受け、OpenSSL の完全な監査が開始されました。この結果、バグのバックログが減少し、クリティカルなコード部分が一新され、テストが強化され、セキュリティ・脆弱性問題取り扱い指針が文書化されました。

The Linux Foundationが支援しているインフラプロジェクトやイニシアチブ

Bashは、Brian FoxがGNUプロジェクトのためにフリーソフトウェアとして提供したUnixシェル / コマンド言語であり、ボーンシェルを置き換えるものです。1989年に提供を開始して以来、BashはGNUオペレーティングシステムのためのシェルとして広く配布され、また、LinuxやOS Xではデフォルトのシェルとして利用されています。The Linux Foundationは、Bashシェルの開発のために機器を提供しています。

Debian や Fedora のようなディストリビューションにとって、配布バイナリをビルドするシステムが外部攻撃者から改竄されていないことが非常に重要です。再現可能ビルトサービスは、1つのソースコードを元に、1ビットたりとも違わない同一バイナリを誰でも再作成できるため、バイナリとそのソースコードが正確に対応していることを誰でも単独で検証できるようになります。そのような機能がなければ、いくら注意深く監査されたソースコードからできたソフトウェアでも、ユーザーの手に渡る前にバイナリが改ざんされた場合、それを検知するのは至難の業です。

Censusの調査は、オープンソースエコシステムに対する Core Infrastructure Initiative’s (CII) の見解や、危険な状態にあるプロジェクトなどを示しています。Heartbleed 問題で現出した OpenSSLの脆弱性で明らかになったのは、いくつかのオープンソースソフトウェア (OSS) は広汎に利用され、頼りにされているものの、脆弱性問題は深刻な事態であり、その重要さに見合う一定レベルのセキュリティ分析をまだ受けていないプロジェクトもあるということでした。いくつかのOSSプロジェクトは、多くの参加者を抱え、詳細なセキュリティ分析を実施し、高い品質とセキュリティを持つと認識されているソフトウェアを作っています。しかし、それ以外のOSSプロジェクトは、高いセキュリティを達成するために十分な時間を割くことができないような小人数のチームです。肝心なのは、後者のカテゴリに属している重要プロジェクトを素早く見極めることです。

Core Embedded Linuxは、組込みLinuxシステムに対する新たな要件やトピックを見出すことを目指しています。このプロジェクトのメンバー企業によって特定されるニーズは、現実世界の要件に基づいており、オープンソースコミュニティとの協業によって最も適切に解決できるようなものです。このプロジェクトは、他の協業プロジェクトでは十分にカバーできていないトピックを研究し、議論する場として利用できます。たとえば、Civil Infrastructure Platformプロジェクトは、このプロジェクト内の調査・研究活動としてスタートしたものです。

The Linux FoundationのCore Infrastructure Initiative (CII) は、プロジェクトを開始した年に250万ドルの資金を投入して、だれもが利用するオープンソースプロジェクトのセキュリティを強化しました。Core Infrastructure Initiativeの活動を受け、わたしたちは協業による予防的アプローチを採用することでサイバーセキュリティを強化しています。重要なオープンソースプロジェクトのセキュリティを強化するために、世界の多くの大企業がCIIに賛同し、参加しています。

The Linux FoundationはDiaMonプロジェクトをホストしています。DiaMonプロジェクトの目的は、オープンソースの診断・監視ソフトウェアを強化することです。このプロジェクトは、トレース、監視、および診断に関するデファクトスタンダードやツールを作成します。また、ツール間の相互運用性を高め、Linuxベースのトレース、プロファイリング、ロギング、監視などの機能を強化することを目指しています。

GnuPG は、RFC4880が定義するOpenPGP標準 (PGP として知られている) の完全かつフリーな実装です。GnuPGは、データや通信の暗号化や署名に使われ、また、豊富な鍵管理システムやあらゆる公開鍵ディレクトリのアクセスモジュールを備えています。GnuPGはGPGとも呼ばれ、他のアプリケーションと簡単に統合できる機能を持つコマンドラインツールです。さまざまなフロントエンドアプリケーションやライブラリが利用できます。GnuPGの第2版は、S/MINE や Secure Shell (ssh) もサポートしています。The Linux Foundationは、CIIの資金提供により、パートタイムのGnuPG開発者を1名支援しています。

Let’s Encryptは、自動化された無償のオープン認証局 (CA) であり、公益のために運営されています。このサービスは、Internet Security Research Group (ISRG) によって提供されており、The Linux Foundationがシステムの運営を担っています。2015年9月から2016年4月までのベータテストの期間中に、この認証局は380万以上のWebサイトに約170万件の認証を発行しました。Let’s Encrypt は、ドメイン名を所有するすべてのサーバーに無償で信頼できる認証を提供します。Web サーバー上のソフトウェアはLet’s Encryptとやりとりし、簡単に認証を取得して、利用に向け安全に構成でき、しかも自動的に更新されます。Let’s Encryptは、CAとして機能するだけでなく、サイトオペレーターがサーバーセキュリティを適切に保全できるよう支援するため、セキュリティのベストプラクティスを進歩させるプラットフォームとして役立ちます。

The Linux Foundationは、Linuxカーネルプロジェクトに対してフルタイムの技術サポートを提供しています。これには、複数のフルタイムのシステム管理者、ハードウェア、およびソフトウェアが含まれています。The Linux Foundationがこの役割を引き受ける以前には、ボランティアがこの仕事を行っていました。The Linux Foundationは、他のパートナーと共同でThe Linux Kernel Organizationの運営と資金援助を行い、kernel.orgのインフラの維持・管理に対する技術、費用、および人員について全面的に支援しています。また、Linus TorvaldsやGreg Kroah-HartmanがLinuxカーネルの開発以外に何の義務もなく活動できるように、彼らをThe Linux Foundationのフェローとして採用しています。

The Linux FoundationはThe Linux Standard Base (LSB)プロジェクトをホストしています。LSB は、アプリケーション開発におけるLinuxプラットフォームのサポートコストを引き下げるために創設されました。個々の Linux ディストリビューション間の非互換を減少させることにより、他のディストリビューションにアプリケーションを移植するコストを削減し、さらにアプリケーションを出荷した後のサポートのコストや手間を低減することができます。

Network Time Protocol (NTP)は、パケット交換型の可変遅延データネットワークを介して繋がるコンピューターシステム間において、時間同期を司るネットワークプロトコルです。1985年以降実動しており、NTPは現存するインターネットプロコトルとしてはもっとも古いものの1つです。複数のコンピューター間で相互に交信するプログラムが動作しているとき、一方のコンピューターから他方に切り替わると、両者の時刻はどうしても多少の差が生じます。あるコンピューターの時刻が他より進んでいても、残りのコンピューターはそれより遅れた時刻のままで動作を続けます。外部の観察者から見ると、コンピューターが切り換わるたびに時刻が進んだり、遅れたりしてしまい、思わしくない結果にもなります。現在、CIIの助成金によって2人のパートタイム開発者に支援が行われています。1人は、ネットワークタイムコードの中核部分を担当し、もう1人は、ntimedを担当しています。ntimedはNTPの新しいクライアントサイド実装です。

NTPsecプロジェクトは、Dave Millsが原作を書いたNTP Classicから派生したもので、強化されたNTP実装です。NTPsecは、その名前が示すとおり、よりセキュリティが高く堅牢なNTPです。コードの精査、検証、およびテストにベストプラクティスと最先端技術を適用してコードを外部提供するため、厳しいセキュリティ、可用性、および保証が要求される業務にも自信を持って利用できます。

OpenChainは、コンプライアンスプログラムにおける共通のベストプラクティスを特定することにフォーカスした取り組みです。このベストプラクティスがサプライチェーン全体に適用され、オープンソースライセンスへの効率的・効果的なコンプライアンスが実現されることをめざしています。

The Linux FoundationはOpenPrinting projectプロジェクトのホストシステムを提供しています。このプロジェクトは、GNU/LinuxやBSDのようなフリーなOS、およびSolarisやMac OS Xのような商用のUnix ライク OSの印刷機能を強化しています。

OWASP Zed Attack Proxy (ZAP) は、世界で最もポピュラーな無償のセキュリティツールの1つで、何百人という国際ボランティアが積極的にメンテナンスしています。このツールを利用すると、アプリケーションの開発中やテスト中にWebアプリケーションのセキュリティ脆弱性を自動検出できます。経験豊かな侵入テスト実施者がマニュアルでセキュリティテストを行う際に使用できる優秀なツールでもあります。

R Consortiumは、2015年11月に、最初の助成対象としてR-Hubを選びました。R-Hubは、Rパッケージを開発、ビルド、テスト、および検証するサービスです。R Consortiumは、Rユーザーコミュニティのためのツールや有用情報を開発するさらなる活動に対して、20万ドルに上る資金援助を行っています (2016年3月23日時点)。

Software Package Data Exchange® (SPDX®) プロジェクトは、The Linux Foundationがホストしています。SPDXの仕様は、ソフトウェアパッケージに関わる部品、ライセンス、著作権の情報を伝達する際の標準フォーマットを規定しています。同プロジェクトによって作成されたSPDX Reportプログラムの目的は、SPDXに関するすべてのコミュニティ情報を収集および共有するために、記事のリポジトリを作り上げることです。この情報リポシトリには、技術課題、ベストプラクティス、法務関連のトピック、ツールの提案、ソフトウェア採用の戦略と分析、ライセンス順守上の考慮点、ポジションペーパーなど多様な情報が蓄えられていますが、これらに限定されるわけではありません。

2016年3月にオープンソースソフトウェアとして公開されたTIS Interpreterは、既存の自動テストケースを使って誤検出のないバグ検知を行い、開発者の作業時間を削減します。CIIが投資することを決めたこの活動は、既存の技術を組み合わせ、新たな技法をOpenSSLで試行するものです。もし成功すれば、他のオープンソースソフトウェアにも適用され、開発者はバグの可能性のある箇所を簡単に検出できるようになり、セキュリティも向上します。