ソースコードのセキュリティを重視し、国内外の最新情報を収集!
編集者: コードガード
最近、Linux Foundation は、オープンソース ソフトウェアのセキュリティに関してホワイトハウスが発行した情報要求の概要を提供しました。以下はブログ投稿の翻訳です。
0 1
導入
オープンソース ソフトウェアのセキュリティに関する米国連邦政府からの情報要請 (RFI) の最近のリリースは、注目に値するオープン ソース ソフトウェア (OSS) の開発です。OSS セキュリティを向上させるために、Open Source Software Security Initiative (OS3I) の部門間ワーキング グループがこの RFI を作成しました。このブログの内容は、RFI の概要を簡単に説明することを目的としています。
0 2
情報提供依頼の概要
RFI は、情報を収集し、OSS セキュリティに関する洞察を向上させるための取り組みです。回答期限は 2023 年 10 月 9 日です。回答者はすべての質問に回答する必要はありませんが、専門的な知識やアイデアがある部分についてコメントしていただくとよいでしょう。回答者は、RFI でカバーされていない問題について追加のコメントを提供することもできます。RFI は懸念される可能性のある領域を特定しますが、OS3I が RFI に列挙していないものの、OSS セキュリティにとって重要な領域が存在する可能性があります。回答は、ホワイトハウス国家サイバー局長室 (ONCD) および OS3I のパートナーに提出されます。
RFI は、次のようないくつかの質問から始まります。
米国連邦政府は、オープンソース ソフトウェアにおける最も重要なシステミック リスクにどのように対処すべきでしょうか?
米国連邦政府は、オープンソース ソフトウェア コミュニティの長期的な持続可能な発展をどのように促進すべきでしょうか?
OSS セキュリティ ソリューションは、技術的およびリソースの観点からどのように実装されるべきですか?
何を優先すべきでしょうか?
0 3
懸念される可能性のある領域
RFI は、懸念される可能性のある領域を次のように考慮しています。
オープンソース ソフトウェア基盤の保護: メモリセーフ プログラミング言語の採用の促進、全体的な脆弱性の大幅な削減、ソフトウェア サプライ チェーンのセキュリティの強化、開発者教育など。
オープンソース ソフトウェア コミュニティとガバナンスをサポートします。
オープンソース ソフトウェア エコシステムを保護するために、行動的および金銭的インセンティブを解放します。
革新的です。
国際協力。
回答者は他の分野を提案するかもしれません。たとえば、(開発者だけでなく) 広範な教育やインシデント対応の改善に関する議論について聞きました。
RFI はすべての人に開かれており、その範囲が広いため、複数の利害関係者からの多様な意見を受け入れることができます。また、RFI はメモリセーフ プログラミング言語の使用の増加など、OSS コミュニティの既存の取り組みに関連していることにも注意します。
0 4
積極的に参加する
米国連邦政府が発行した OSS RFI は、OSS セキュリティ環境の理解と強化を目的とした重要な取り組みです。これは、複数の関係者 (あなたを含む) が洞察、経験、推奨事項を共有する機会を提供します。世界中の政府が OSS に依存しており、私たちは政府がすべての人にとって OSS のセキュリティを向上させるためのリソースと能力を持っていると信じています。
Linux Foundation は、OSS のセキュリティが最も重要であると考えています。2020 年に、私たちはメンバー ユニットとともに Open Source Security Foundation (OpenSSF) を設立しました。OpenSSF は、さまざまな手段を通じて OSS のセキュリティを向上させることを目的としています。たとえば、OpenSSF は開発者に無料の教育資料、さまざまなガイド、および sigstore (デジタル署名と検証用) を提供します。私たちにはこれ以上のことができるので、メンバーがこの重要なテーマに興味を持っていることを嬉しく思います。OpenSSF は多くの政府と協力して、OSS のセキュリティを向上させるために協力する方法を見つけてきました。OpenSSF はこの RFI に対応する予定であり、皆様にも同様の対応をしていただけることを願っています。
個人の開発者でも、組織でも、この分野に興味がある人でも、RFI は OSS セキュリティの将来について有意義な会話をする機会を提供します。
RFI の詳細は次の場所でご覧いただけます。
https://www.federalregister.gov/documents/2023/08/10/2023-17239/request-for-information-on-open-source-software-security-areas-of-long-term-focus-and-優先順位付け。
Code Guard トライアル アドレス: https://codesafe.qianxin.com
オープンソース ガードのトライアル アドレス: https://oss.qianxin.com
推奨読書
オンライン閲覧版:「2023年中国ソフトウェアサプライチェーンセキュリティ分析報告書」全文
Qi'anxinは世界的な「ソフトウェアコンポーネント分析パノラマ」の代表メーカーに選ばれました
Qi'anxinは、世界的な「静的アプリケーションセキュリティテストパノラマ」の代表メーカーに選ばれました。
OpenSSF が、使用法、開発、脆弱性レポート、パッケージ管理をカバーする 4 つのオープンソース ソフトウェア セキュリティ ガイドをリリース
OpenSSF が NPM サプライ チェーンのベスト プラクティス ガイドをリリース
OpenSSF、オープンソース ソフトウェアとソフトウェア サプライ チェーンのセキュリティを向上させるために 1,000 万ドルの投資を受ける
元のリンク
https://openssf.org/blog/2023/08/25/what-you-need-to-know-about-the-us-federal-governments-rfi-on-open-source-software-security/
タイトル画像: Pixabayライセンス
この記事は Qi Anxin によって編集されたものであり、Qi Anxin の見解を表すものではありません。「Qi Anxin Code Guard https://codesafe.qianxin.com から転載」と明記してください。
Qi'anxin コードセーフ (コードセーフ)
国内初のソフトウェア開発セキュリティに特化した製品群。
良いと感じたら、「見る」または「いいね」をクリックしてください〜