本プレスリリースは、OpenSSF Announces New Members, Guiding Software Security Principles at OpenSSF Day Japan の参考訳です。
メンバーベースの拡大と新しいプロジェクトにより、オープンソース ソフトウェアのセキュリティが継続的に進歩
2023年12月4日 東京発 ― オープンソースソフトウェア (OSS) の持続可能なセキュリティ確保に取り組むLinux Foundationの業界横断的なイニシアチブ Open Source Security Foundation (OpenSSF) は、本日 OpenSSF Day Japan において、大手テクノロジー企業からの新メンバーと、新しい一連の「Secure Software Development Guiding Principles (セキュアソフトウェア開発の指針)」を発表しました。
OpenSSFの新ゼネラルメンバーにはPatchStack、SparkFabrik、TestifySec、新アソシエイトメンバーにはISC2が含まれます。テクニカル コミュニティは、引き続きオープンソース セキュリティへの投資の重要性を強調しており、OpenSSFは120メンバー企業で年末を迎えました。 コミュニティメンバーは堅牢で活発で安全なオープンソース エコシステムを維持するために、オープンソース コミュニティをサポートし維持する重要な役割を認識しています。
OpenSSFのゼネラルマネージャーである Omkhar Arasaratnam は、次のように述べています。
「新しいメンバーがOpenSSFに参加することを嬉しく思います。オープンソース ソフトウェアのセキュリティを確保することは大変な仕事であり、メンバーと協力していくことを楽しみにしています。」
本日OpenSSFは、東京で開催されるOpen Source Summit JapanでOpenSSF Day Japanを主催します。OpenSSF Dayは、サイバーセキュリティに携わるメンテナー、コントリビューター、その他の関係者が、オープンソースソフトウェア エコシステムを保護するために現在行われている取り組みについて詳しく学ぶことができる素晴らしい機会です。スケジュールのハイライトには、悪用されたOSS脆弱性の傾向、悪意のあるパッケージのリポジトリ、日本の産業部門向けのSBOMポリシー、オープンソースセキュリティにおけるグローバルコラボレーションなどに関する20人以上の専門家によるセッションが含まれます。パネルディスカッションでは、より優れたサイバーセキュリティのためのオープンソース、オープンスタンダード、政府指令への対応について議論します。
OpenSSF Day Japanの始まりに際して、Secure Software Development Guiding Principles (セキュアソフトウェア開発の指針) をリリースしました。これらの10の指針は、それらを活用する組織に、より確かな保証とセキュリティを提供する一連の基本的な実践方法を説明しています。 ソフトウェアの生産者と供給者が開発ライフサイクル全体を通じてこれに準拠し従うことを誓約する一連のコアプラクティスを提供します。
OpenSSFはまた、日本語にも翻訳されている「OpenSSFガイド」に2つの新しいガイドが追加されたことを紹介しました。一つは、CVE Numbering Authority (CNA) プログラムを通じて独自のCVE IDを発行および管理することに関心のあるオープンソース プロジェクト向けの新しいガイドです。もう一つは「Compiler Options Hardening Guide for C and C++ (CおよびC++のコンパイラオプション強化ガイド)」で、開発者がメモリの安全性の問題やその他のソフトウェアの欠陥に対してソフトウェアを強化するするためのコンパイラオプションについて、情報に基づいた選択を行えるように設計されています。(*一部のガイドは、現時点では翻訳版は公開されていません。)
先週、LF EnergyとOpenSSFは、オープンソースソフトウェアがエネルギーインフラの革新と変革にとっていかに重要であるかについての新しいホワイトペーパーを発表しました。一般的な誤解に反して、OSS は手頃な価格と適応性だけでなく、サイバー脅威に対する堅牢なシールドも提供します。
Alpha-Omegaプロジェクトは最近、HomebrewがSLSAビルドレベル2に到達するための助成金を提供し、2024年もRust Foundationのセキュリティイニシアチブを継続して支援することを発表しました。またAlpha-Omegaは、以前の助成金による持続的な効果にも満足しています。OpenJS Foundationは、IDCの調査に基づくエンドユーザー監査の結果を発表し、10億のWebサイトの4分の3で古いソフトウェアが実行されていることが示されました。また、Eclipse Foundationは、Mosquittoプロジェクトの監査を終了しました。
これらの最新の発表は、OpenSSFですでに行われているコラボレーティブな取り組みに基づいており、オープンソースソフトウェアセキュリティに関する米国連邦政府の情報提供要請 (RFI) への回答や、AIサイバーチャレンジ (AIxCC : AIとサイバーセキュリティのつながりでイノベーションを促進し、次世代のサイバーセキュリティツールを作成するすることを目的とした2年間のコンペティション) に関する国防高等研究計画局 (DARPA) への支援が含まれています。
OpenSSFのプロジェクトとマイルストーンに関するその他の最新情報は、こちらをご覧ください。
ゼネラルメンバーの声 (原文より)
Patchstack
Our goal has always been to make the open source security more accessible to small and midsize enterprises (SMEs). As a company, we’ve been a firm believer in the community & collaboration, which resonated with us immediately as we were invited to join the OpenSSF family. Patchstack runs an active open source bug hunting community (Patchstack Alliance) where ethical hackers are rewarded for reporting new security vulnerabilities found in open-source software. We are the global leader of open source vulnerability intelligence, ranking #1 as a CNA in 2023 for the highest number of CVEs processed. Patchstack offers vPatches to its SaaS customers which allows them to auto-mitigate production applications from all of the latest vulnerabilities to immediately reduce exposure. We are determined to cover the entire lifecycle of open source vulnerabilities. We see the OpenSSF membership as a logical next step to give back to the community, share our knowledge, data, and further educate the SME market about open source & supply chain security.
Oliver Sild, Co-Founder & CEO, Patchstack
SparkFabrik
As an organization based on Open Source values and already a dynamic member of CNCF and LFE, SparkFabrik is excited to join OpenSSF. Our expertise focuses on Cloud Native applications and is based on Open Source software. We are committed to the dissemination, promotion and protection (we actively support the Linux Foundation Europe’s #FixTheCRA campaign) of Open Source, which we see as a driver for transformation. We have long focused on the importance of Software Supply Chain Security, for individual organizations and for the common fabric that individuals create. Joining OpenSSF, we are committed to supporting the development of best practices within this key community, to disseminate and produce frameworks that underpin the solutions we want to offer.
Paolo Mainardi, CTO and co-founder, SparkFabrik
TestifySec
TestifySec is dedicated to the belief that everyone deserves secure software. OpenSSF perfectly embodies this value. Open source software should not only be secure but also utilize open and shared methods and tools. Having actively contributed to ongoing Technical Initiatives, we are thrilled to officially become a member of OpenSSF. We look forward to continuing our journey with OpenSSF, contributing to a more secure software landscape for all.
John Kjell, Director of Open Source, TestifySec
アソシエイトメンバーの声 (原文より)
ISC2
Secure open source code is critical, as it is the bedrock of so much innovation around the globe. By joining the OpenSSF, ISC2 is dedicated to ensuring developers have access to the education and training they need to deliver more secure and resilient solutions.
Clar Rosso, CEO, ISC2
参考資料
- OpenSSFメンバー一覧
- アクティブなOpenSSFワーキンググループ/プロジェクトに貢献する
- OpenSSF Day Japan (12月4日 日本開催) に登録する
OpenSSFについて
Open Source Security Foundation (OpenSSF)は、Linux Foundationがホストする業界横断的な組織です。業界で最も重要なオープンソースセキュリティの取り組みと、それをサポートする個人および企業をつなぎ合わせます。OpenSSFは、すべての人のためのオープンソースセキュリティを前進させるために、コラボレーションを推進し、アップストリームおよび既存のコミュニティ両方と協力します。詳細については openssf.org をご覧ください。
Linux Foundationについて
Linux Foundationは、オープンソースソフトウェア、オープンハードウェア、オープンスタンダード、オープンデータに関するコラボレーションのための世界有数の拠点です。Linux Foundationのプロジェクトは、Linux、Kubernetes、Node.js、ONAP、PyTorch、RISC-V、SPDX、OpenChainなど、世界のインフラストラクチャにとって重要なものです。Linux Foundationは、ベストプラクティスを活用し、貢献者、ユーザー、ソリューション プロバイダーのニーズに対応し、オープン コラボレーションの持続可能なモデルを構築することに重点を置いています。詳細については linuxfoundation.org をご覧ください。