「OSSを安全に」　OpenSSFらがセキュリティ改善に動員計画

スピード求められる開発者のジレンマ

　3つの方向性・10の取り組みからなる“動員”計画の重要なポイントが、開発者への教育と認定だ。

　OSS関連ニュースサイトのFossforceは、開発者にはセキュリティのベストプラクティスの訓練が求められる一方で、ユーザーフレンドリーで多機能なアプリケーション構築のプレッシャーにさらされていると指摘。そうした中でのOpenSSFの計画に賛同する。

　OpenSSFの執行ディレクターBrian Behlendorf氏は、セキュリティに重要なのは「精査」だが、「そのインセンティブが開発者にない」ことが課題と昨年末のVentureBeatのインタビューに答えている。

　つまり、開発者は「新しい機能を追加し、新しい仕事で報われるが、古いコードをリファクタリング（動作を保ちながら保守性を高めるよう書き直す）することでは報われない」との指摘だ。

　このため、セキュリティのためには「防御的にコードを書く方法やゼロトラスト環境におけるコーディングを考える必要がある」という。

　またBehlendorf氏は、AIの支援が期待できるとの見解を示しながら、そこでは「コスト」「誤検出」が課題だとした。誤検出では「OpenSSFでやりたいことの1つとして、これらの（AI）ツールのレポートを実行する共通のポータルを作ることで、誤検出を見極めたい」と述べている。

　今回のOpenSSFの取り組みは、好意的に受け入れられているようだ。発表の翌日、Amazon Web Services（AWS）は、今後3年で1000万ドルを追加で投じると発表。「この投資によって、オープンソースソフトウェアのセキュリティ改善を支援したいと考えている」とコメントしている。