Mozillaが今日(米国時間6/9)、オープンソースのコードをよりセキュアにするためのファンドSecure Open Source(SOS)を立ち上げる、と発表した。このファンドは、Mozilla Open Source Support事業からの50万ドルの助成金を最初の資金とし、オープンソースのプロジェクトに監査と修正の機会を与えることによって、次のHeartbleed事件やShellshock事件が起きることを防ごうとするものだ。
Mozillaはまた、オープンソースの恩恵を受けている企業や教育機関、政府機関などに対して、ファンドへの参加を求めている。今日の声明の中で、“これらオープンソースの受益者たちに資金提供を求めることによって、よりセキュアなインターネットを築いていきたい”、とMozillaのChris Rileyが述べている。
具体的には、SOS Fundがセキュリティ企業に費用を払ってプロジェクトのコードを監査し、またプロジェクトのメンテナーと協力してコードの修正を実装、さらに情報の開示も正しく行っていく。修正の検証にも、必要ならお金を払う。
Mozillaによると、このやり方をすでに3つのプロジェクトでテストしている(PCRE, libjpeg-turbo, phpMyAdmin)。これら最初のテストによって、43のバグが見つかり、中には深刻な脆弱性もあった。最初のテストでMozillaは、Cure53やNCC Groupと協働した。
“われわれが頼りにしているコードのあまりにも多くが、オープンソースのソフトウェアを使っている。それは商用製品にも埋め込まれ、インターネットのオペレーションの重要な部分を提供している”、Center for Strategic and International StudiesのSVPでディレクターでもあるJames A. Lewisが、今日の声明文の中でこう語っている。“それだけ重要なコードでありながら、オープンソースのコードはパッチやアップデートがお留守になることがきわめて多い。どのソフトウェアにも、悪用されうる欠陥がある。それは、コードの本質だ。そういうバグが放置されたら、犯罪と破壊行為のための機会を作り出す。MozillaのSOSファンドは、オープンソース中のバグ発見と修正のためのインセンティブを作って、サイバーセキュリティにおけるギャップを埋める”。
自分のコードのセキュリティ監査を申請したいデベロッパーは、ここで申し込む。それらのコードはオープンソースで、しかも現状でメンテナンスが持続しているものでなければならない。Mozillaは、それらのソフトウェアが広く利用されていることや、その機能性の継続がインターネットやWebにとって重要であることも検証する。