解説:何年もの間、企業または組織レベルでセキュリティに取り組んできました。新しいAlpha-Omegaプロジェクトは、真の業界全体のアプローチを採用しているようであり、それは有望です。
セキュリティは常にセクシーでない投資であり、計画よりも後知恵で意味をなす傾向があります。最近では、セキュリティ違反が時折の例外ではなく日常的なものになっているため、企業やオープンソースプロジェクトではセキュリティを優先し始めていますが、ソフトウェア開発プロセスにはまだ不足していると思われます。
必読のセキュリティカバレッジ
このアプローチの問題は、それが原子的で断片化されたままであるということです。最近のZDNetの記事で述べられているように、「セキュリティの状態は業界全体で非常に不均一であり、一部のトップベンダーではかなり良好なセキュリティがありますが、大多数は…基本的なセキュリティ投資が不足しています。」これは要点を逃します。セキュリティは、1つの会社またはプロジェクトが単独で実行できるものではありません。それは本質的にコミュニティの問題です。
Linux Foundation(LF)からの最近のニュースが心強いのはそのためです…まさに、LinuxFoundationに関するものではないからです。または排他的ではありません。
ニュースの背後にあるニュース
2つのことが発表されました。まず、LFの下で運営されているOpen Source Security Foundation(OpenSSF)は、その名簿にさらに20人のメンバーを追加しました。これらのメンバーは何をしますか?表面上は、「オープンソースソフトウェアのセキュリティの脆弱性を特定して修正し、改善されたツール、トレーニング、調査、ベストプラクティス、および脆弱性開示プラクティスを開発するのに役立ちます」。実際には、これらの企業の多くは、単にセキュリティへの懸念を美徳に伝えることを望んでいますが、真の利益はそのような組織からももたらされます。
たとえば、OpenSSFは現在合計60のメンバーを数えていますが、いくつかの主要メンバー(この場合はGoogleとMicrosoftを考えてください)が開発者を他のOpenSSFメンバーと緊密に協力して特定のセキュリティを向上させるように割り当てます。 Log4jの脆弱性などのシナリオを回避するためのオープンソースプロジェクト。
言い換えれば、一部の組織はセキュリティに投資する余裕があり、そうするための専門家のリソースを持っています。コミュニティフォーラムでその情報をオープンに共有すると、誰もが恩恵を受けます。
LF発表の2番目の側面は、間違いなくさらに興味深いものです。 OpenSSFはまた、Alpha-Omega Projectを発表しました。これは、世界で最も重要で基本的なオープンソースソフトウェアライブラリとパッケージをすべて特定し、それらを監査して、必要に応じてサポートすることを目的としたプロジェクトです。リリースから:
「このプロジェクトは、プロジェクトメンテナと協力して、オープンソースコードの新しい、まだ発見されていない脆弱性を体系的に探し、修正することで、グローバルOSSサプライチェーンのセキュリティを向上させます。 「アルファ」は、最も重要なオープンソースプロジェクトのメンテナと協力して、セキュリティの脆弱性を特定して修正し、セキュリティ体制を改善するのに役立ちます。 「オメガ」は、オープンソースのメンテナコミュニティに自動化されたセキュリティ分析、スコアリング、および修復ガイダンスを適用できる、広く展開されているOSSプロジェクトを少なくとも10,000件特定します。」
マイクロソフトとグーグルからの最初の500万ドルの資金提供と、ハーバード大学とLFの支援を受けたこのオープンソースプロジェクトの国勢調査は、米国の大統領命令で義務付けられているように、企業がソフトウェアの部品表を作成するのに役立ちます。国勢調査の作成者が指摘したように、彼らがまとめたリストは、「時間の制限と幅広いが網羅的ではないことを考えると、どのFOSS[フリーおよびオープンソースソフトウェア]パッケージがさまざまなアプリケーションで最も広く使用されているかについての最善の見積もりを表しています。 、集計したデータ。」
これは、切望されている作業の印象的なスタートであり、特定の組織のソフトウェアプロジェクトに焦点を当てているわけではありません。
そしてそれが本当のニュースです。大統領命令ではありません。 Google/Microsoftの関与ではありません。 LFでさえ業界を超えたイニシアチブに取り組んでいません。いいえ、本当のニュースは、セキュリティがLFのようなどの業界団体よりも大きいということです。 LFがカタログ化を支援している10,000のオープンソースプロジェクト?ほとんどの人はLFの権限の下に座っていません。またはGoogleの。またはMicrosoftの。または[任意の組織の名前を挿入]。
セキュリティはすべての人に影響を及ぼしますが、私たちは少しずつそれに取り組んでいます。 Alpha-Omegaプロジェクトのリーダーでハーバード大学のFrankNagle教授が書いた投稿によると、プロジェクト全体でオープンソースソフトウェアのセキュリティ体制を改善するには、多大な作業が必要です。たとえば、オープンソースプロジェクト全体に標準の命名スキーマがないため、混乱を招きます。「FOSSコンポーネント名を調整するための集中化された組織がないため、同じ名前であるが同じコンポーネントではない複数のコンポーネントが存在する可能性があります。」オープンソース開発者は、問題が表面化したときに(おそらく他の誰よりも早く)問題を迅速に修正できることを示しましたが、不必要なセキュリティ問題を回避できるように、プロジェクトを同様に構造化するために団結できますか?
Alpha-Omegaは、断片的ではなく、業界全体でこのような問題を解決しようとする素晴らしいスタートです。 Heartbleedの後、セキュリティの問題に取り組むという同様の野心がありました。今回は本当に違う…そして共同体であることを願いましょう。
開示:私はMongoDBで働いていますが、ここで表現されている見解は私のものです 。
ソースリンク