オープンソースソフトのセキュリティ強化へ　CISAがロードマップ発表

Googleら大手、セキュリティ教育に3000万ドル提供を約束

　Synopsysの調査によると、2022年に17業界を対象に調べた1703件のコードベースのうち、84％に少なくとも1つの既知のオープンソースの脆弱性が含まれていたという。うち48％が高リスクと評価されるものだった。

　OSSは規模の大小を問わず企業や政府に利用される一方で、一般的に少人数のグループが開発・メンテナンスを行うため、目が行き届かないこともある。

　これに対してOSS業界の取り組みも進められている。昨年のサミットのフォローアップとして5月にOpenSSFが開催した「Open Source Software Security Summit II」ではAmazon、Google、Microsoftなどのハイテク大手が3000万ドル以上を提供すると発表した。

　またOpenSSFで新たにセキュリティに関するコースを設置したり、重要度の高いプロジェクトについては外部のコードレビューを行うなどの取り組みを約束した。すでに2万人以上の開発者がOpenSSFのセキュリティ教育コースを受講したという。

　今年のサミットでOpenSSFは、こうした過去1年のコミュニティの活動のまとめも発表した。

　「OpenSSF のジェネラルマネージャOmkhar Arasaratnam氏は、来年もまとめを行うとともに、半年後には政府担当者に中間報告を行うことを約束した、とSDxCentralに説明。こう述べている。

　「多くの人はセキュリティ、とりわけOSS内のセキュリティは解決不可能な大問題だと考えている。私はインクリメンタル（斬新的）で持続可能な進歩を実現したいと考えている」