本ブログは The World’s Major Technology Providers Converge to Improve the Security of Software Supply Chains の参考訳です。
非常に人気のあるオープンソースプロジェクトを作成したと想像してみてください。 世界中の何百万とは言わないまでも数千の開発者が、あなたが書いたコードに依存しています。そしてあなたはそのコミュニティのヒーローになりました — 人々はあなたのコードを愛し、コードの改良に貢献し、新しい機能を要求し、他の人に使用を勧めます。そのエンジニア人生は素晴らしいものですが、大きな力と影響力には大きな責任が伴います。
コードにバグがあると、人々は文句を言います。大規模な実装でパフォーマンスの問題が生じると、それに対処する必要があります。また、セキュリティ上の脆弱性が発見された場合、コードやその依存関係は常に完璧とは限らないことから、コミュニティの安全を守るために迅速に修正する必要があります。
オープンソースプロジェクトがセキュリティに関連した責任にうまく対処できるように、Linux Foundationによってホストされている多くのコミュニティは、いくつかの重要な取り組みに膨大な時間、リソース、コードを投資してきました。Linuxカーネルのセキュリティの向上に取り組み、Let’s Encryptとsigstoreをホストし、SPDXのISO標準化を支援し、CHAOSSプロジェクトを通じてOSSの健全性とリスクの測定基準を作成するコミュニティをまとめてきました — 他にも多くの実績があります。
今日、私たちはソフトウェアサプライチェーンのセキュリティを強化するために、世界中の多くの主要な組織と協力しています。Linux Foundation は、Open Source Security Foundation (OpenSSF) とそのイニシアチブを拡大・支援するために1,000万ドルの新規投資を調達しました。この業界を超えたコラボレーションにより、エコシステムが統合され、オープンソースソフトウェアのサイバーセキュリティの脆弱性が集合的に特定・修正され、改善されたツール、トレーニング、調査、ベストプラクティス、脆弱性開示方法が開発されます。また、オープンソース界の重鎮であるBrian BehlendorfがゼネラルマネージャーとしてOpenSSFコミュニティに貢献することを発表しました。
OpenSSFのファイナンシャルコミットメントでは、AWS、Cisco、Dell Technologies、Ericsson、Facebook、Fidelity、GitHub、Google、IBM、Intel、JPMorgan Chase、Microsoft、Morgan Stanley、Oracle、Red Hat、Snyk、VMwareがプレミアメンバーとして参加し、Aiven、Anchore、Apiiro、AuriStor、Codethink、Cybertrust、Deepfence、Devgistics、DTCC、GitLab, Goldman Sachs、JFrog、Nutanix、StackHawk、Tencent、TideLift、Wind Riverがゼネラルメンバーとして参加しています。
OpenSSFへの参加方法や、6つのワーキンググループへの貢献方法について、今週のKubeConで発表されたBrian Behlendorfの簡単な紹介ビデオをご覧ください。
2021年、Linux Foundationとそのコミュニティは引き続き教育をサポートし、オープンソースのサイバーセキュリティの向上に不可欠なリソースを共有します。その一つとして、今週はSupplyChainSecurityConを開催し、SLSAやsigstoreプロジェクトが大きく取り上げられました。
オープンソースソフトウェアの開発者、ユーザー、その他のコミュニティ参加者で、世界中のイノベーションを促進するソフトウェアの保護に貢献したい人は、OpenSSFの6つのワーキンググループへの参加、またはソフトウェアサプライチェーンのセキュリティニーズのギャップに対処する新たなワーキンググループの提案をご検討ください。
OpenSSFの最新情報は、ブログ、Twitter (@TheOpenSSF)、LinkedInでご覧いただけます。