サンフランシスコ、17 年 2022 月 XNUMX 日 — オープンソースセキュリティ財団 (OpenSSF) は Linux Foundation でホストされ、世界で最も重要なソフトウェア サプライ チェーン セキュリティ イニシアチブをまとめた業界横断的な組織であり、水曜日に、主要な金融サービス、テクノロジ、雇用、ソフトウェア開発、サイバーセキュリティ、テレコミュニケーション、および学術部門。
新しいプレミア メンバーである Capital One が OpenSSF 理事会に参加します。 新しい一般メンバーのコミットメントは、Akamai、Indeed、Kasten by Veeam、Scantist、SHE BASH、Socket Security、Sysdig、Timesys、および ZTE Corporation から提供されます。 新しい準会員には、Eclipse Foundation、Purdue University、および TODO Group が含まれます。 OpenSSF のゼネラル マネージャーである Brian Behlendorf は、次のように述べています。 「オープンソース ソフトウェアのセキュリティの脆弱性が世界中の政府や企業の注目を集め続けているため、OpenSSF の活動への関心が急速に高まっています。」
「組織、開発者、研究者、およびセキュリティー専門家の成長するコミュニティーは、オープンソース・セキュリティーを強化するために必要な時間とリソースを投資しています」と、OpenSSF 理事長および IBM エンタープライズ・セキュリティー・エグゼクティブの Jamie Thomas は述べています。 「OpenSSF の新しいメンバーは、蔓延するサイバーセキュリティの脅威に積極的に対応するために、業界を超えたコラボレーションとイノベーションがこれまで以上に必要とされる時期に参加しています。」
Log4shell インシデントのような主要なセキュリティ脆弱性につながったシステム上の問題を解決することは、OpenSSF の作業の緊急性と重要性を強調しています。 最近の Cyber Safety Review Board のレポートは、Log4j が今後何年にもわたって悪用される「固有の脆弱性」になっていると宣言しました。 10ポイント動員計画 今年初めに Open Source Software Security Summit II で OpenSSF によって導入されたこの機能は、オープン ソース ソフトウェアの復元力とセキュリティを向上させます。
OpenSSF は、13 月 XNUMX 日火曜日に終日セッションを開催します。 OpenSSF デー EU ダブリンで開催される Open Source Summit Europe (OSS EU) の前夜。 ワーキング グループのリーダーとコミュニティ メンバーは、ソフトウェア サプライ チェーンとオープンソース セキュリティの将来を保護するための進行中の作業について、セッション、パネル、談話会を主催します。 参加申し込み OSS EU に参加するすべての人は無料で参加できます。
プレミア会員の見積もり
キャピタルワン
「今日、顧客向けに作成された最も画期的なデジタル エクスペリエンスのいくつかは、オープン ソース ソフトウェアに基づいています。 このテクノロジを広く採用している企業として、Capital One は、ソフトウェア セキュリティ サプライ チェーンを強化するために協力する中で、OpenSSF および世界のテクノロジ リーダーに参加できることを非常に誇りに思っています。 規制の厳しい企業として、当社はコンプライアンスとガバナンスの管理に熟練しており、標準化、自動化、コラボレーションを提唱しています。 OpenOSSFの使命を前進させ、オープンソースコミュニティに還元するソリューションを特定するために協力できることを楽しみにしています。」
- Capital One のクラウドおよび生産性エンジニアリング担当 EVP、Chris Nims 氏
一般会員の声
アカマイ
「インターネット エコシステムの中心であるオープン ソース ソフトウェアのセキュリティを向上させることは、今日私たちが直面している最も重要なセキュリティ課題の XNUMX つです。 ネットワークとソフトウェア サプライ チェーンを可視化することによってのみ、コード レベルで発生したセキュリティ上の欠陥に確実に対処できます。 テクノロジー コミュニティは、私たちが依存しているオープン ソース コミュニティを財政的および技術的リソースでサポートし、私たちの集団的リスクを制限する必要があります。. セキュリティおよびクラウド サービスの大手プロバイダーとして、Open Source Security Foundation に貢献し、この重要な取り組みの前進を支援できることを楽しみにしています。」
- アカマイの EVP 兼 CTO、Robert Blumofe 氏
Veeamによるカステン
「私たちは、Open Source Security Foundation (OpenSSF) の一員であることを光栄に思っており、同業他社とともにこのイニシアチブを支持しています。 Kasten by Veeam にはオープン ソースの伝統があり、Kubernetes のデータ保護をコア サービスとして提供しているため、セキュリティは Kasten K10 の設計と実装の重要な基盤であり続けています。 Kubernetes の採用が企業のデジタル トランスフォーメーションへの取り組みを後押しし続けているため、特にランサムウェア攻撃が容赦なく増加していることから、当然のことながらセキュリティに注意が向けられています。 Kasten by Veeam は、ビジネス アプリケーションの保護を強化するために、クラウド ネイティブ環境のセキュリティとデータ保護を確保することに取り組んでいます。」
- Kasten by Veeamの製品およびパートナーシップ担当副社長、Gaurav Rishi氏
スキャンティスト
「一方で、ソフトウェア業界は、デジタル世界の基本的な構成要素となったオープンソースの急速な成長から大きな恩恵を受けています。 一方、オープンソースのセキュリティはますます重要になってきており、これらすべてのリスクは、オープンソースの相互依存性によって倍増しています。 現在、OpenSSF のメンバーとして、オープン ソースの複雑さとセキュリティを理解するための定量的なビューを提供するために、オープン ソース エコシステム分析に関する最近の調査に基づいて、OpenSSF ミッションに貢献したいと考えています。 私たちは、オープンソース ソフトウェア サプライ チェーンのセキュリティを促進するために、東南アジアにおける OSS ガバナンスの積極的な参加者、伝道者、および大使になりたいと考えています。」
- Dr. Liu Yang、シンガポールの南洋理工大学教授、Scantist の共同創設者
彼女はバッシュ
「SHE BASH は創業以来、クローズド ソースの保護ベールを介して広範な精査から保護されているさまざまな略奪的な業界慣行を目の当たりにしてきました。 私たちの核となるオープンソース ソフトウェアは、誰もが未来を築くことを可能にする公的機関です。
「何十年にもわたる無関心と、『気にしない』という文化を維持するインセンティブ メカニズムの組み合わせにより、当社は最大かつ最も有罪のテクノロジー企業の中で際立っています。 私たちは、小さなものではありますが、会社として提供できる主な価値提案の XNUMX つとして、常に「ベスト プラクティスを第一に」考えてきました。 オープン ソース ソフトウェアは、公共部門内の主要な技術的変化に違いをもたらす公平な競争の場を提供してくれました。これらの変化の進化は、今日のすべてのソフトウェア ライフを維持するオープン ソースから生まれたベスト プラクティスの開発です。 OpenSSF が何十年にもわたる怠慢から生じた大きな構造上の誤りを修正するために導いている作業を支援できることは、本当に名誉なことです。」
- Cameron Banowsky、共同創設者兼 CTØ、SHE BASH
ソケットのセキュリティ
「毎月 1 億回以上インストールされるオープン ソース パッケージのメンテナーとして、Socket チームは、オープン ソース依存関係の使用が大幅に増加していることをよく知っています。 現代のアプリケーションは、何百人ものメンテナーによって書かれた何千もの依存関係を使用しており、XNUMX つのパッケージをインストールするだけでも、何十もの推移的な依存関係が発生します。 残念ながら、悪意のある人物がソフトウェア サプライ チェーンに侵入し、大混乱を引き起こすのは非常に簡単です。 そのため、Socket は OpenSSF に参加し、サプライ チェーン攻撃を検出して防止するために何千もの企業で使用されているソフトウェア構成分析に対する業界をリードするアプローチを使用して、オープン ソースをすべての人にとって安全にするために私たちの役割を果たしていることを誇りに思っています。 ソケット チームは、他の OpenSSF メンバー企業と協力して、すべての人のためにオープン ソース エコシステムを保護できることを楽しみにしています。」
- Feross Aboukhadijeh 氏、Socket Security の創設者兼 CEO
シスディグ
Sysdig は、OpenSSF の一員であることを誇りに思っており、協力してオープンソースのセキュリティ標準を導き、ソフトウェア サプライ チェーンを保護します。 オープンソースに基づいて構築されたクラウド セキュリティ企業として、私たちは業界が団結して共通の利益のためにソフトウェアを強化しなければならないと考えています。 ランタイムを保護するために Falco を作成して CNCF に貢献したことで、OpenSSF でのオープンなコラボレーションを継続できることを楽しみにしています。 セキュリティの未来は開かれており、私たちが今行っていることはソフトウェアを永遠に形作るでしょう。」
- Edd Wilder-James 氏、Sysdig のオープン ソース エコシステム担当副社長
タイムシス
「ソフトウェア サプライ チェーンの侵害が 650% を超えているため、ソフトウェア サプライ チェーンを保護することが大きな焦点となっています。 私たちは 5 年以上にわたり、オープン ソース ベースの組み込み Linux および Android デバイスを露出や脆弱性から保護、監視、維持するためのテクノロジの開発に取り組んできました。 OpenSSF と共にこのコミュニティの取り組みに参加し、再び Linux Foundation に参加できることを非常に嬉しく思います。 テクノロジーを共有し、協力してオープンソース テクノロジーの開発を加速するエコシステムを構築することで、デバイス メーカーと消費者はどこにいても、安全であることを知って安心できるようになります。」
- Timesys の CEO である Atul Bansal 氏は次のように述べています。
ZTEコーポレーション
「OpenSSF に参加できることを非常にうれしく思います。 世界をリードする通信機器メーカーとして、ますます多くのオープン ソース ソフトウェアが使用されています。 オープンソース ソフトウェアを積極的に採用する一方で、ソフトウェア サプライ チェーンのセキュリティに前例のないリスクももたらします。 ZTEコーポレーションは、リスクを制御および管理するために多くの努力をしており、それらを最優先事項と見なしています。 OpenSSF に参加した後、ZTE Corporation は同様のビジョンと目標を持つメンバーのグループと協力して、より安全な方向に向けてオープン ソース ソフトウェア サプライ チェーンの開発を促進します。」
- ZTE Corporation、OSS コンプライアンスおよびセキュリティ ガバナンス担当ディレクター、Xiang Shuming 氏
その他のリソース
- 詳しく見る 89 の OpenSSF メンバーの完全なリスト
- よく見る 最近の XNUMX 月の OpenSSF タウンホール
- 貢献する アクティブな OpenSSF ワーキング グループおよびプロジェクトの XNUMX つまたは複数に対して
OpenSSFについて
Open Source Security Foundation (OpenSSF) は、Linux Foundation が主催する業界横断的な組織であり、業界で最も重要なオープン ソース セキュリティ イニシアチブと、それを支援する個人および企業を結び付けています。 OpenSSF は、アップストリームと既存のコミュニティの両方とのコラボレーションと作業に取り組んでおり、すべてのオープン ソース セキュリティを前進させています。 詳細については、次の URL をご覧ください。 openssf.org.
LinuxFoundationについて
2000 年に設立された Linux Foundation とそのプロジェクトは、2,950 を超えるメンバーによってサポートされています。 The Linux Foundation は、オープン ソース ソフトウェア、ハードウェア、標準、およびデータに関するコラボレーションの世界有数の拠点です。 Linux Foundation プロジェクトは、Linux、Kubernetes、Node.js、ONAP、Hyperledger、RISC-V など、世界のインフラストラクチャにとって重要です。 Linux Foundation の方法論は、オープン コラボレーションのための持続可能なモデルを作成するために、ベスト プラクティスを活用し、コントリビューター、ユーザー、およびソリューション プロバイダーのニーズに対応することに重点を置いています。 詳細については、次の URL をご覧ください。 linuxfoundation.org.
