「OSSを安全に」　OpenSSFらがセキュリティ改善に動員計画

　オープンソースソフトウェア（OSS）の脆弱性がクローズアップされている。最新の事例が、2021年末に明らかになった「Apache Log4j 2」の脆弱性だ。使いやすさから随所に組み込まれたソフトウェアが大きな問題になることを見せつけた。これらを受け、Linux Foundationらがセキュリティの改善に取り組むプロジェクトを発表した。米政府の支援も受け、1億5000万ドルをかけセキュリティに取り組むもので、OSSが重要な一歩を踏み出そうとしている。

2年で1億5000万ドルの基金を

　Linux Foundation傘下で、オープンソースエコシステムの安全性向上を目指す「Open Source Software Security Foundation」（OpenSSF）が5月12日、新プロジェクトを発表した。オープンソースソフトのセキュリティ改善のために、今後2年間で1億5000万ドル規模の基金を作る計画だ。

　プロジェクトは「オープンソースソフトウェアのセキュリティを結集する」として、セキュリティ教育▼リスク評価▼コード監査▼SBOM（Software Bill Of Materials）の普及▼サプライチェーンの改善――など10項目の具体的取り組みを挙げている。これらは、「オープンソースセキュリティ製品の保護」「脆弱性検出と修正の強化」「エコシステムのパッチ　レスポンス時間の短縮」の3つの大きな方向に分類され、それぞれの面からアプローチする。

　発表は、首都ワシントンD.C.で開催した「Open Source Software Security Summit II」で行った。これにはオープンソース開発者、ベンダーに加え、米国家安全保障会議（NSC）、米国土安全保障省（DHS）下のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）、米国立標準技術研究所（NIST）などの政府機関も参加した。

　1億5000万ドルは膨大な金額だが、既に3000万ドル以上は集まっている。Linux Foundationによると、Amazon、Ericsson、Google、Intel、Microsoft、VMwareの6社が出資を約束しているとのことで、「計画を進めるにつれて資金が特定され、流れに合意したら作業が開始される」という。