Open Source Security Foundation ( OpenSSF ) は、GitHub、Google、IBM、Microsoft、Intel、GitLab、HackerOne、Red Hat などによって設立された新しい組織です。その目的は、オープンソース ソフトウェアのセキュリティを促進し、業界間のコラボレーションを加速するための取り組みを 1 か所に統合することです。
少なくとも、Linux Foundation 内のこの新しいプロジェクトの公式 Web サイトでは、そのように説明されています。Linux Foundation のメンバーには世界最大のテクノロジー企業がいくつか含まれており、その中には商用製品で大規模なオープンソース プロジェクトを活用している企業もあります。 、Microsoft (GitHub の所有者)、IBM (Red Hat の所有者)、Google など。
セキュリティおよび脆弱性開示ツール
この財団は、オープンソース ソフトウェアの脆弱性への対応を改善するために、ソフトウェア大手間の大規模な協力を目指しています。実際、Microsoft 自体 (新たにオープンソースに好意を寄せている) は、セキュリティの脅威の特定、ベスト プラクティスの確立、ツールの開発、脆弱性の開示の改善を支援するために、自社のリソースの多くをこのイニシアチブに移すと述べています。
彼らは、自社の脆弱性開示システムが、開発者がオープンソース ソフトウェアの問題を「 数カ月ではなく数分で」解決できるようになることを期待している。
この最後の点は、OpenSSF で Google のような企業と協力することを考えると、特に興味深いものです。Google のサイバーセキュリティ専門家のグループ (Project Zero) は、修正する前に同社の脆弱性を暴露したとしてMicrosoft と常に衝突しています。
OpenSSF は、セキュリティ研究者がオープンソース サプライ チェーンのセキュリティを確保するために協力するメカニズムが必要であり、さまざまな組織の研究者が共通の関心と懸念を持っているという前提に基づいて設立されました。 OpenSSF は、これらの組織間の対話を促進するよう努めます。
Linux Foundation のエグゼクティブ ディレクターである Jim Zemlin 氏は次のように説明しています。
私たちは、オープンソースは公共財であると信じており、業界全体で団結して、私たち全員が依存しているオープンソース ソフトウェアのセキュリティを向上およびサポートする責任があると考えています。オープンソースのセキュリティを確保することは、私たちができる最も重要なことの 1 つであり、世界中のすべての人がこの取り組みに貢献する必要があります。 OpenSSF は、業界を超えた真の共同作業のためのフォーラムを提供します。
OpenSSF の他の創設メンバーには、イレブンパス、オクタ、パーデュー、SAFECode、StackHawk、Trail of Bits、JPMorgan Chase、NCC Group、OWASP Foundation、Uber、VMware も含まれます。