詳細ページ

下院科学・宇宙・技術委員会は、5月11日、オープンソースソフトウェアのサイバーセキュリティを改善する道筋について議論する公聴会を開催した 。

オープンソースソフトウェアは、開発者が使いやすいため、現在ほとんどのソフトウェアに取り入れられており、Government Technologyによれば、商用コードベースの97％にオープンソースが含まれていたという調査もあるが、これはオープンソースソフトウェアに含まれる脆弱性が世界中のシステムの脅威になることも意味する 。

証言者として参加したLinux財団のプロジェクト「Open Source Security Foundation（OpenSSF）」のブライアン・ベーレンドルフ氏は、サイバーセキュリティの改善はいかなるものでも世界中のユーザーにとって利益になるとし、最も効果がある取り組みとして、セキュアなソフトウェア開発の基本に関する教育の拡大、よりセキュアでメモリ安全性の高いプログラミング言語の使用奨励などを挙げた。

アトランティック・カウンシルのアメリー・コーラン氏は、ソフトウェアサプライチェーンのセキュリティに関するツールや基準、開発者が簡単に採用できるガイダンスを提供することで、政府は重要な役割を担うことができると述べた。

なお、政府もオープンソースソフトウェアのセキュリティ強化に動き始めており、全米科学財団（NSF）は、オープンソース・エコシステムを構成する要素を保護するための助成金提供を予定している。

また、Linux財団の「Open Source Security Foundation（OpenSSF）」は、5月12日、ホワイトハウス等と共に策定した「10-point Open Source Software Security Mobilization Plan」を公表した 。

アマゾン、エリクソン、グーグル、インテル、マイクロソフト、VMウェアといったテクノロジー企業は、このソフトウェアのサプライチェーンを強化するポートフォリオ・アプローチを推進するため、初期資金として、まず3,000万ドルを提供することを約束した。

このプランは、広範に利用されているオープンソースソフトウェアの脆弱性や弱点が、連邦省庁、インフラ事業者、企業、非営利団体にとって脅威となっている状況に対応するもの。

セキュリティ教育、リスク評価、デジタル署名、メモリの安全性、インシデント対応、スキャニングの改善、コードの監査、データ共有、ソフトウェア部品表の普及、サプライチェーンの改善という10分野への資金提供により、オープンソースのセキュリティ強化、脆弱性の発見と修正の改善、パッチ適用の迅速化を目指している。

なお、同プランには、今後2年間で合わせて1億5,000万ドルの資金提供が見込まれている。

1 https://science.house.gov/hearings/securing-the-digital-commons-open-source-software-cybersecurity
2 https://www.govtech.com/security/u-s-house-lawmakers-search-for-open-source-security-fixes
3 https://www.linuxfoundation.org/press-release/linux-foundation-openssf-gather-industry-government-leaders-open-source-software-security-summit/