Google は、オープンソース ソフトウェアのセキュリティを強化することを目的とした、米国政府主導の政策枠組みの提案に大きな力を入れており、民間部門にこのイニシアチブを支援するよう促しています。
先月上院で導入されたSecuring Open Source Software Act [PDF]
これは、連邦政府によるオープン ソース ソフトウェアの使用に関するセキュリティとリスク軽減の青写真を作成する超党派の法案です。
Royal Hansen 氏は次のように述べています。 、Google のトラスト アンド セーフティ チームのエンジニアリング担当副社長 27 月 XNUMX 日のブログ投稿.
オープン ソース ソフトウェア コード、つまり、あらゆる種類のアプリケーションを自由に利用できるビルディング ブロックは、基本的に現代のデジタル エンタープライズを推進するエンジンです。 しかし、悪意のある ソフトウェアサプライチェーンに対するサイバー活動 過去数四半期で、 SolarWinds
〜へ ログ4シェル
悪意のある汚染されたプロジェクトやパッケージの宝庫が信頼された場所に現れます npm などのコード リポジトリ.
ハンセン氏は、「オープンソース サプライ チェーンに関する一見単純な質問は、依然として答えにくい」と述べています。
- プロジェクトには既知の脆弱性が含まれていますか?
- プロジェクトのメンテナーとコミュニティは、ソフトウェア開発中にセキュリティのベスト プラクティスに従っていますか?
- 特定のソフトウェアの一部であるオープンソースの依存関係は何ですか?
- 流通サプライチェーンはどの程度安全でしたか?
Google は、次のようなイニシアチブを通じて、この問題に積極的に取り組んできました。 バグ報奨金の取り組みを拡大 オープンソースへ。 業界は次のようなアプローチを支持してきました ソフトウェア部品表 (SBOM) また、自動化されたコード レビューにより、脆弱な部分が広範囲に拡散する前に検出できます。 Google やその他のテクノロジー大手も、非営利団体やソフトウェア財団に何百万ドルも投資してきました。 オープンソースセキュリティ財団 オープンソースのクリエイターをサポートします。 政策面では、米国政府は 採用されたSBOM 代理店向けなどの動きがあります。
新しい連邦法が可決されれば、官民パートナーシップがさらに促進され、公共部門がより有意義な方法で交渉のテーブルにつくことになると、テクノロジーの巨人は述べています。
ハンセン氏は、「オープンソース ソフトウェアを保護することは共同責任であり、この緊急かつ重大な問題について引き続き協力できることを楽しみにしています。