極めて重要なオープンソース ソフトウェア プロジェクトベストラクティスセキュリティサポートを支援する Linux Foundation のプロジェクト Core Infrastructure Initiative (CII) と、ハーバード大学 イノベーションサイエンス研究所 (LISH) は 2月18日 (現地時間)、Vulnerabilities in the Core, Preliminary Report and Census II of Open Source Softwareリリースを発表しました。

2020年2月18日 サンフランシスコ発 ー 極めて重要なオープンソース ソフトウェア プロジェクトベストラクティスセキュリティサポートを支援する Linux Foundation のプロジェクト Core Infrastructure Initiative (CII) と、ハーバード大学 イノベーションサイエンス研究所 (LISH) は、Vulnerabilities in the Core, Preliminary Report and Census II of Open Source Software ( https://www.coreinfrastructure.org/programs/census-program-ii/ ) のリリースを発表しました。

Census II 分析・レポートは、オープンソースが普及しつつも常に理解されているわけではない現代のサプライチェーンにおいて、構造とセキュリティの複雑さを理解し対処するための重要なステップを示しています。Census II は、製品アプリケーションに最も一般的に使用されている FOSS (free and open source software) コンポーネントを特定し、潜在的な脆弱性の調査を行います。これによりFOSSの長期的なセキュリティと健全性を維持するためのアクションを通知できます。Census I (2015 https://www.coreinfrastructure.org/programs/census-program-i/ ) では、Debian Linux ディストリビューションのどのソフトウェア パッケージカーネル オペレーションとセキュリティにとって最もクリティカルであるかを特定しました。

Linux Foundation のエグゼクティブ ディレクターである Jim Zemlin は、次のように述べています。
「Census II レポートは、グローバル サプライチェーンのオープンソース ソフトウェア パッケージやコンポーネント間の複雑さと相互依存性を理解しようとする際に直面する最も重要な課題のいくつかに対処しています。レポートは、共有ソフトウェアと潜在的な脆弱性のインベントリを提供しはじめます。これらのプロジェクトについてより深く理解するはじめの一歩であり、これにより私たちはソフトウェアの信頼と透明性をもたらすツールや標準規格を作成することができます。」

Linux Foundationとハーバード大学は、Software Composition Analysis (SCAs) および開発者のためのセキュリティ企業 Snyk ( https://snyk.io/ ) や Synopsys Cybersecurity Research Center (CyRC https://www.synopsys.com/software-integrity/cybersecurity-research-center.html ) を含むアプリケーション セキュリティ企業と協力し、プライベート使用のデータと公開されているデータセットを組み合わせて、最も使用されている200以上のオープンソース ソフトウェア プロジェクトをを特定する方法論を開発することができました。このうちの20プロジェクトに関する調査結果と、各プロジェクトの詳細を含む方法論とリストはレポートで紹介されています。

ハーバード ビジネス スクールの教授であり Census II 共同ディレクターの Frank Nagle 氏は、次のように述べています。
FOSS は長い間、ホビイストなどが楽しむ趣味の領域とみなされてきました。しかし今では現代の経済に不可欠なコンポーネントであり、スマートフォン自動車IoTなど、非常に多くのクリティカルインフラストラクチャの日常のテクノロジーの基礎的なビルディンブロックになっています。どのコンポーネントが最も広く使用され、最も脆弱であるかを理解することは、エコシステムデジタル経済の継続的な健全性を確保するのに役立ちます。」

FOSS はすべてのソフトウェアの80~90%を占めており ( https://www.sonatype.com/hubfs/SSC/Software_Supply_Chain_Inforgraphic.pdf?t=1468857601884 ) 、何の FOSS が最も使用され、どこで攻撃に対して脆弱になり得るかを理解することがこれまで以上に重要になります。この重要性が増していることは、米国政府機関がソフトウェア部品表 (SBOM) を介してさまざまなパッケージデバイスを構成するソフトウェア ビルディンブロックに対する深い洞察を求めていることに裏付けられます。例えば米国議会下院エネルギー商業委員会のリーダー2018年4月 Linux Foundation に手紙を送り、FOSS の重要性を認識し、FOSS に関連する機会と課題を考察しました。

経済全体にわたるFOSSの重要性の高まりは、OpenSSL 暗号ライブラリHeartbleed セキュリティバグが発見された 2014年に決定的に明らかになりました。ある推定によると ( https://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html )、このバグはインターネット上の安全なWebサーバーの 20% 近くまたは 50万件に影響を与えました。この件が設立以来 6年間でオープンソース セキュリティのために数百万ドルを集めた Core Infrastructure Initiative のきっかけとなりました。

Jim Zemlin は、次のように述べています。
オープンソースは今日の経済において紛れもなく重要な要素であり、グローバルな商取引の大部分を支えています。サプライチェーン全体で数十万のオープンソース ソフトウェア パッケージが製品アプリケーションに含まれており、脆弱性について評価する必要があるものを理解することが、オープンソース ソフトウェアの長期的なセキュリティと持続可能性を確保するための最初のステップになります。」

パートナーの声 (原文)

Snyk

“The Snyk security team understands how complex and challenging it is to sustain a database with highly actionable, accurate, and timely vulnerability information,” said Snyk’s Co-founder, Danny Grander, a veteran security researcher who leads Snyk’s security team.

“We’ve worked closely with the Linux Foundation for many years on important research and security initiatives to help mitigate the risk involved in application development. Our team is proud to contribute Snyk’s proprietary, enriched data to the new Census II report, recognizing that industry-wide efforts like this are beneficial to improving the security and viability of open source.”

Synopsys

“Considering the ubiquity of open source software and the essential role it plays in the technology powering our world, it is more important than ever that we take a collaborative approach to maintain the long term health of the most foundational open source components,” said Tim Mackey, principal security strategist for the Synopsys Cybersecurity Research Center. “Identifying the most pervasive FOSS components in commercial software ecosystems, combined with a clear understanding of both their security posture and the communities who maintain them, is a critical first step. Beyond that, commercial organizations can do their part by conducting internal reviews of their open source usage and actively engaging with the appropriate open source communities to ensure the security and longevity of the components they depend on.”

Linux Foundationについて

2000年に設立されたLinux Foundationは、1,000を超えるメンバーによってサポートされており、オープンソース ソフトウェアオープン スタンダードオープン データ、およびオープン ハードウェアに関するコラボレーションにおいて世界をリードしています。Linux、Kubernetes、Node.jsをはじめとするLinux Foundationのプロジェクトは、世界のインフラ必要不可欠な存在です。Linux Foundationは、ベストラクティスを活用し、貢献者、ユーザー、およびソリューション プロバイダーのニーズに対応することにより、サステナブルなオープン コラボレーション モデルを生み出します。詳細については、www.linuxfoundation.org をご覧ください。

ハーバード大学イノベーションサイエンス研究所について

ハーバード大学イノベーションサイエンス研究所 (LISH) は、現実社会のイノベーション課題を解決し同時に正確な科学研究を実施する体系的なプログラムを通じてイノベーション科学の発展を促進しています。LISH はこれまで NASA、ハーバードメディカルスクール、ブロード研究所、スクリプス研究所など、航空宇宙や医療分野の主要パートナーと協力して複雑な問題を解決し、影響力の強いソリューションを開発してきました。詳細は https://lish.harvard.edu/ をご覧ください。

###

The Linux Foundation はさまざまな商標を登録および使用しています。The Linux Foundation の商標一覧はこちらのページ ( https://www.linuxfoundation.jp/trademark-usage/ ) でご確認いただけます。
Linux は Linus Torvalds の登録商標です。

配信元企業:The Linux Foundation Japan

企業プレスリリース詳細へ

PR TIMESトップへ