無料トレーニング、新メンバーによる投資、Core Infrastructure Initiative (CII) との統合、オープンソース セキュリティの取り組みを加速させる誰もが参加できる新しい機会の提供
2020年10月29日 サンフランシスコ発 ― オープンソース エコシステムのセキュリティを確保するための業界を超えたコラボレーションであるOpen Source Security Foundation (OpenSSF) は、安全なソフトウェアを開発するための無料トレーニング、新しいOpenSSFプロフェッショナル認定プログラム「Secure Software Development Fundamentals」および追加のプログラムと技術プロジェクトを発表しました。また、OpenSSFへの新たな貢献企業と、新たに選出された諮問委員会と理事会のメンバーも発表しました。
オープンソース ソフトウェアは産業全体に浸透しており、そのセキュリティを確保することが最も重要です。Linux Foundationが主催する OpenSSFは、業界を超えた協力的な取り組みのための構造化されたフォーラムを提供します。同財団は、アップストリームと既存のコミュニティの両方と協力してすべての人のオープンソース セキュリティを推進することに取り組んでいます。
オープンソース セキュリティのトレーニングと教育
OpenSSFは、非営利のedX学習プラットフォームで、安全なソフトウェアを開発する方法に関する3つの無料コースを開発しました。これらのコースは、ソフトウェア開発者 (DevOpsプロフェッショナル、ソフトウェア エンジニア、Webアプリケーション開発者を含む) や、安全なソフトウェア開発方法の習得に興味がある人を対象としています。コースは、セキュアなソフトウェアを開発する方法だけではなく、脆弱性が発見された場合の対応速度を向上させ被害を軽減する方法を専門家に教えるために特別に設計されています。
有料のOpenSSFのトレーニング プログラムには、プロフェッショナル認定プログラム「Secure Software Development Fundamentals」が含まれており、開発者は教材をマスターしたことを証明できます。コースと認定の申し込みは開始しています。 コースの受講とプロフェッショナル認定プログラムのテストの実施は11月5日に始まります。
Linux Foundationのプロジェクト担当シニア バイスプレジデント兼ゼネラル マネージャーであるMike Dolanは、次のように述べています。
「OpenSSFはすでに信じられないほどの勢いを示しており、オープンソース セキュリティへの優先順位が高まっていることを強調しています。Secure Software Development Fundamentalsプロフェッショナル認定プログラムを提供し、オープンソース セキュリティのベストプラクティスに関する情報に精通した人材プールを支援できることを嬉しく思います。」
新メンバーによる投資
設立後現在までに次の17社の新たなコントリビューターがOpenSSFにメンバーとして参加しました。
Arduino、AuriStor、Canonical、Debricked、Facebook、Huawei Technologies、iExec Blockchain Tech、Laboratory for Innovation Science at Harvard (LISH)、Open Source Technology Improvement Fund、Polyverse Corporation、Renesas、Samsung、Spectral、SUSE、Tencent、Uber、WhiteSource
設立時のメンバーおよび新メンバーの詳細は https://openssf.org/about/members/ をご覧ください。
Core Infrastructure InitiativeプロジェクトがOpenSSFと統合
またOpenSSFは、CII Census (重要なOSSプロジェクトを特定するための定量分析) やCII FOSS Contributor Survey (FOSS開発者を対象とした定量調査) などのCore Infrastructure Initiative (CII) のプロジェクトを集約します。どちらもOpenSSFのSecuring Critical Projectsワーキング グループの一部になります。この2つの取り組みは、ハーバード大学イノベーション サイエンス研究所 (LISH) が引き続き実施します。CIIベスト プラクティス バッジプロジェクトもOpenSSFに移行されます。
OpenSSFリーダーシップ
OpenSSFは、MicrosoftのKay Williams氏を理事長に選出しました。 新たに選出された理事会メンバーは次のとおりです。
- Jeffrey Eric Altman氏 : AuriStor, Inc.
- Lech Sandecki氏 : Canonical
- Anand Pashupathy氏 : Intel Corporation
- Dan Lorenc氏 : Google 技術諮問委員会 (Technical Advisory Committee/TAC) 代表
理事会のセキュリティコミュニティ個人代表の選出は現在進行中であり、結果は11月にOpenSSFから発表される予定です。 MicrosoftのRyan Haning氏が技術諮問委員会の議長に選出されました。
2020年11月9日 (月) には、OpenSSFミーティング (OpenSSF Town Hall) があり、プロジェクトの最初の3ヶ月間のアップデートを共有し、成果を祝います。参加者は、理事会、技術諮問委員会、ワーキング グループのリーダーの発表を聞き、質疑応答する機会があり、プロジェクトへの参加方法について詳しく知ることができます。登録はこちらをご覧ください。
OpenSSF にはメンバーでなくても参加できます。ワーキング グループや諮問フォーラムへの参加など、詳細な情報は https://openssf.org/getinvolved をご覧ください。
新メンバーの声 (原文)
Arduino
“As an open-source company, Arduino always considered security as a top priority for us and for our community,” said Massimo Banzi, Arduino co-founder. ’”We are excited to join the Open Source Security Foundation and we look forward to collaborating with other members to improve the security of any open-source ecosystem.”
AuriStor
“One of the strengths of the open protocols and open source software ecosystems is the extensive reuse of code and APIs which expands the spread of security vulnerabilities across software product boundaries. Tracking the impacted downstream software projects is a time-consuming and expensive process often reaching into the tens of thousands of U.S. dollars. In Pixar’s Ratatouille, Auguste Gusteau was famous for his belief that “anyone can cook”. The same is true for software: “anyone can code” but the vast majority of software developers have neither the resources or incentives to prioritize security-first development practices nor to trace and notify impact downstream projects. AuriStor joins the OSSF to voice the importance of providing resources to the independent developers responsible for so many critical software components.” – Jeffrey Altman, Founder and CEO or AuriStor.
Canonical Group
“It is our collective responsibility to constantly improve the security of open source ecosystem, and we’re excited to join the Open Source Security Foundation,” said Lech Sandecki, Security Product Manager at Canonical. “As publishers of Ubuntu, the most popular Linux distribution, we deliver up to 10 years of security maintenance to millions of Ubuntu users worldwide. By sharing our knowledge and experience with the OSFF community, together, we can make the whole open source more secure.”
Debricked
“The essence of open source is collaboration, and we strongly believe that the OSSF initiative will improve open source security at large. With all of the members bringing something different to the table we can create a diverse community where knowledge, experience and best practices can help shape this space to the better. Debricked has a strong background in research and extensive insight in tooling; knowledge which we hope will be a valuable contribution to the working groups,” said Daniel Wisenhoff, CEO and co-founder of Debricked.
Huawei
“With open source software becoming a crucial foundation in today’s world, how to ensure its security is the responsibility of every stakeholder. We believe the establishment of the Open Source Security Foundation will drive common understanding and best practices on the security of the open source supply chain and will benefit the whole industry,” said Peixin Hou, Chief Expert on Open System and Software, Huawei. “We look forward to making contributions to this collaboration and working with everybody in an open manner. This reaffirms Huawei’s long-standing commitment to make a better, connected and more secure and intelligent world.”
Laboratory for Innovation Science at Harvard
“We are excited to bring the Core Infrastructure Initiative’s research on the prevalence and current practices of open source into this broader network of industry and foundation partners,” said Frank Nagle, Assistant Professor at Harvard Business School and Co-Director of the Core Infrastructure Initiative at the Laboratory for Innovation Science at Harvard. “Only through coordinated, strategically targeted efforts – among competitors and collaborators alike – can we effectively address the challenges facing open source today.”
Open Source Technology Improvement Fund
“OSTIF is thrilled to collaborate with industry leaders and apply it’s methodology and broad expertise for securing open-source technology on a larger scale. The level of engagement across organizations and industries is inspiring, and we look forward to participating via the Securing Critical Projects Working Group,” said Chief Operating Officer Amir Montazery. “Linux Foundation and OpenSSF have been instrumental in aligning efforts towards improving open-source software, and OSTIF is grateful to be involved in the process.”
Polyverse
“Polyverse is honored to be a member of OpenSSF. The popularity of open source as the ‘go-to’ option for mission critical data, systems and solutions has brought with it increased cyberattacks. Bringing together organizations to work on this problem collaboratively is exactly what open source is all about and we’re eager to accelerate progress in this area,” said Archis Gore, CTO, Polyverse.
Renesas
“Renesas provides embedded processors for various application segments, including automotive, industrial automation, and IoT. Renesas is committed to ensuring the integrity and confidentiality of systems and data while mitigating cybersecurity risks. To enable our customers to develop robust systems, it is essential to provide root-of-trust of the open source software that runs on our products,” said Shinichi Yoshioka, Senior Vice President and CTO of Renesas. “We are excited to join the Open Source Security Foundation and to collaborate with industry-leading security professionals to advance more secure computing environments for the society.”
Samsung
“Samsung is trying to provide best-in-class security with our technologies and activities. Not only are security risks reviewed and removed in all development phases of our products, but they are also monitored continuously and patched quickly,” said Yong Ho Hwang, Corporate Vice President and Head of Samsung Research Security Team, Samsung Electronics. “Open source is one of the best approaches to drive cross-industry effort in responding quickly and transparently to security threats. Samsung will continue to be a leader in providing high-level security by actively contributing and collaborating with the Open Source Security Foundation.”
Spectral
“Spectral’s mission is to enable developers to build and ship software at scale without worry. We feel that the OpenSSF initiative is the perfect venue to discuss and improve open source security and is a natural platform that empowers developers. The Spectral team is happy to participate in the working groups and share their expertise in security analysis and research of technology stacks at scale, developer experience (DX) and tooling, open source codebases analysis and trends, developer behavioral analysis, though the ultimate goal of improving open source security and developer happiness,” said Dotan Nahum, CEO and co-founder of Spectral.
SUSE
“At SUSE, we power innovation in data centers, cars, phones, satellites and other devices. It has never been more critical to deliver trustworthy security from the core all the way to the edge,” said Markus Noga, VP Solutions Technology at SUSE. “We are committed to OpenSSF as the forum for the open source community to collaborate on vulnerability disclosures, security tooling, and to create best practices to keep all users of open source solutions safe.”
Tencent
“Tencent believes in the power of open source technology and collaboration to deliver incredible solutions to today’s challenges. As open source has become the de facto way to build software, its security has become a critical component for building and maintaining the software and infrastructure,” said Mark Shan, Chair of Tencent Open Source Alliance and Board Chair of the TARS Foundation. “By bringing different organizations together, OpenSSF provides a platform where developers can collaboratively build solutions needed to protect the open source security supply chain. Tencent is very excited to join this collaborative effort as an OpenSSF member and contribute to its open source security initiatives and best practices.
WhiteSource
“In today’s world, software development teams simply cannot develop software at today’s pace without using open source. Our goal has always been to empower teams to harness the power of open source easily and securely. We’re honored to get the opportunity to join the Open Source Security Foundation where we can join forces with others to contribute, together, towards open source security best practices and initiatives.” David Habusha, VP Product.
Linux Foundationについて
2000年に設立されたLinux Foundationは、1,000を超えるメンバーによってサポートされており、オープンソース ソフトウェア、オープン スタンダード、オープン データ、およびオープン ハードウェアに関するコラボレーションにおいて世界をリードしています。Linux、Kubernetes、Node.jsをはじめとするLinux Foundationのプロジェクトは、世界のインフラに必要不可欠な存在です。Linux Foundationは、ベスト プラクティスを活用し、貢献者、ユーザー、およびソリューション プロバイダーのニーズに対応することにより、サステナブルなオープン コラボレーション モデルを生み出します。詳細については、www.linuxfoundation.org をご覧ください。
###
The Linux Foundation はさまざまな商標を登録および使用しています。The Linux Foundation の商標一覧はこちらのページでご確認いただけます。
Linux は Linus Torvalds の登録商標です。
- Dent Introduces Industry’s First End-to-End Networking Stack Designed for the Modern Distributed Enterprise Edge and Powered by Linux - 2020-12-17
- Open Mainframe Project Welcomes New Project Tessia, HCL Technologies and Red Hat to its Ecosystem - 2020-12-17
- New Open Source Contributor Report from Linux Foundation and Harvard Identifies Motivations and Opportunities for Improving Software Security - 2020-12-08
