最も広く使用されているソフトウェアを特定し、世界最大の共有リソースを将来的に保護するための重要な課題を明示
2020年2月18日 サンフランシスコ発 ー 極めて重要なオープンソース ソフトウェア プロジェクトのベストプラクティスとセキュリティのサポートを支援する Linux Foundation のプロジェクト Core Infrastructure Initiative (CII) と、ハーバード大学 イノベーションサイエンス研究所 (LISH) は、Vulnerabilities in the Core, Preliminary Report and Census II of Open Source Software のリリースを発表しました。
Census II 分析・レポートは、オープンソースが普及しつつも常に理解されているわけではない現代のサプライチェーンにおいて、構造とセキュリティの複雑さを理解し対処するための重要なステップを示しています。Census II は、製品アプリケーションに最も一般的に使用されている FOSS (free and open source software) コンポーネントを特定し、潜在的な脆弱性の調査を行います。これによりFOSSの長期的なセキュリティと健全性を維持するためのアクションを通知できます。Census I (2015) では、Debian Linux ディストリビューションのどのソフトウェア パッケージがカーネル オペレーションとセキュリティにとって最もクリティカルであるかを特定しました。
Linux Foundation のエグゼクティブ ディレクターである Jim Zemlin は、次のように述べています。
「Census II レポートは、グローバル サプライチェーンのオープンソース ソフトウェア パッケージやコンポーネント間の複雑さと相互依存性を理解しようとする際に直面する最も重要な課題のいくつかに対処しています。レポートは、共有ソフトウェアと潜在的な脆弱性のインベントリを提供しはじめます。これらのプロジェクトについてより深く理解するはじめの一歩であり、これにより私たちはソフトウェアの信頼と透明性をもたらすツールや標準規格を作成することができます。」
Linux Foundationとハーバード大学は、Software Composition Analysis (SCAs) および開発者のためのセキュリティ企業 Snyk や Synopsys Cybersecurity Research Center (CyRC) を含むアプリケーション セキュリティ企業と協力し、プライベート使用のデータと公開されているデータセットを組み合わせて、最も使用されている200以上のオープンソース ソフトウェア プロジェクトをを特定する方法論を開発することができました。このうちの20プロジェクトに関する調査結果と、各プロジェクトの詳細を含む方法論とリストはレポートで紹介されています。
ハーバード ビジネス スクールの教授であり Census II 共同ディレクターの Frank Nagle 氏は、次のように述べています。
「FOSS は長い間、ホビイストなどが楽しむ趣味の領域とみなされてきました。しかし今では現代の経済に不可欠なコンポーネントであり、スマートフォン、自動車、IoTなど、非常に多くのクリティカルなインフラストラクチャの日常のテクノロジーの基礎的なビルディングブロックになっています。どのコンポーネントが最も広く使用され、最も脆弱であるかを理解することは、エコシステムとデジタル経済の継続的な健全性を確保するのに役立ちます。」
FOSS はすべてのソフトウェアの80〜90%を占めており、何の FOSS が最も使用され、どこで攻撃に対して脆弱になり得るかを理解することがこれまで以上に重要になります。この重要性が増していることは、米国政府機関がソフトウェア部品表 (SBOM) を介してさまざまなパッケージやデバイスを構成するソフトウェア ビルディング ブロックに対する深い洞察を求めていることに裏付けられます。例えば米国議会下院エネルギー商業委員会のリーダーは 2018年4月 Linux Foundation に手紙を送り、FOSS の重要性を認識し、FOSS に関連する機会と課題を考察しました。
経済全体にわたるFOSSの重要性の高まりは、OpenSSL 暗号ライブラリの Heartbleed セキュリティバグが発見された 2014年に決定的に明らかになりました。ある推定によると、このバグはインターネット上の安全なWebサーバーの 20% 近くまたは 50万件に影響を与えました。この件が設立以来 6年間でオープンソース セキュリティのために数百万ドルを集めた Core Infrastructure Initiative のきっかけとなりました。
Jim Zemlin は、次のように述べています。
「オープンソースは今日の経済において紛れもなく重要な要素であり、グローバルな商取引の大部分を支えています。サプライチェーン全体で数十万のオープンソース ソフトウェア パッケージが製品アプリケーションに含まれており、脆弱性について評価する必要があるものを理解することが、オープンソース ソフトウェアの長期的なセキュリティと持続可能性を確保するための最初のステップになります。」
パートナーの声 (原文)
Snyk
“The Snyk security team understands how complex and challenging it is to sustain a database with highly actionable, accurate, and timely vulnerability information,” said Snyk’s Co-founder, Danny Grander, a veteran security researcher who leads Snyk’s security team.
“We’ve worked closely with the Linux Foundation for many years on important research and security initiatives to help mitigate the risk involved in application development. Our team is proud to contribute Snyk’s proprietary, enriched data to the new Census II report, recognizing that industry-wide efforts like this are beneficial to improving the security and viability of open source.”
Synopsys
“Considering the ubiquity of open source software and the essential role it plays in the technology powering our world, it is more important than ever that we take a collaborative approach to maintain the long term health of the most foundational open source components,” said Tim Mackey, principal security strategist for the Synopsys Cybersecurity Research Center. “Identifying the most pervasive FOSS components in commercial software ecosystems, combined with a clear understanding of both their security posture and the communities who maintain them, is a critical first step. Beyond that, commercial organizations can do their part by conducting internal reviews of their open source usage and actively engaging with the appropriate open source communities to ensure the security and longevity of the components they depend on.”
Linux Foundationについて
2000年に設立されたLinux Foundationは、1,000を超えるメンバーによってサポートされており、オープンソース ソフトウェア、オープン スタンダード、オープン データ、およびオープン ハードウェアに関するコラボレーションにおいて世界をリードしています。Linux、Kubernetes、Node.jsをはじめとするLinux Foundationのプロジェクトは、世界のインフラに必要不可欠な存在です。Linux Foundationは、ベスト プラクティスを活用し、貢献者、ユーザー、およびソリューション プロバイダーのニーズに対応することにより、サステナブルなオープン コラボレーション モデルを生み出します。詳細については、www.linuxfoundation.org をご覧ください。
ハーバード大学イノベーションサイエンス研究所について
ハーバード大学イノベーションサイエンス研究所 (LISH) は、現実社会のイノベーション課題を解決し同時に正確な科学研究を実施する体系的なプログラムを通じてイノベーション科学の発展を促進しています。LISH はこれまで NASA、ハーバードメディカルスクール、ブロード研究所、スクリプス研究所など、航空宇宙や医療分野の主要パートナーと協力して複雑な問題を解決し、影響力の強いソリューションを開発してきました。詳細は https://lish.harvard.edu/ をご覧ください。
###
The Linux Foundation はさまざまな商標を登録および使用しています。The Linux Foundation の商標一覧はこちらのページでご確認いただけます。
Linux は Linus Torvalds の登録商標です。
- Dent Introduces Industry’s First End-to-End Networking Stack Designed for the Modern Distributed Enterprise Edge and Powered by Linux - 2020-12-17
- Open Mainframe Project Welcomes New Project Tessia, HCL Technologies and Red Hat to its Ecosystem - 2020-12-17
- New Open Source Contributor Report from Linux Foundation and Harvard Identifies Motivations and Opportunities for Improving Software Security - 2020-12-08