Mozillaがオープンソースコードのセキュリティアップのためにファンドを立ち上げ、次のHeartbleedを防ぐ

heartbleed

Mozillaが今日(米国時間6/9)、オープンソースのコードをよりセキュアにするためのファンドSecure Open Source(SOS)を立ち上げる、と発表した。このファンドは、Mozilla Open Source Support事業からの50万ドルの助成金を最初の資金とし、オープンソースのプロジェクトに監査と修正の機会を与えることによって、次のHeartbleed事件やShellshock事件が起きることを防ごうとするものだ。

Mozillaはまた、オープンソースの恩恵を受けている企業や教育機関、政府機関などに対して、ファンドへの参加を求めている。今日の声明の中で、“これらオープンソースの受益者たちに資金提供を求めることによって、よりセキュアなインターネットを築いていきたい”、とMozillaのChris Rileyが述べている。

具体的には、SOS Fundがセキュリティ企業に費用を払ってプロジェクトのコードを監査し、またプロジェクトのメンテナーと協力してコードの修正を実装、さらに情報の開示も正しく行っていく。修正の検証にも、必要ならお金を払う。

Mozillaによると、このやり方をすでに3つのプロジェクトでテストしている(PCRE, libjpeg-turbo, phpMyAdmin)。これら最初のテストによって、43のバグが見つかり、中には深刻な脆弱性もあった。最初のテストでMozillaは、Cure53NCC Groupと協働した。

“われわれが頼りにしているコードのあまりにも多くが、オープンソースのソフトウェアを使っている。それは商用製品にも埋め込まれ、インターネットのオペレーションの重要な部分を提供している”、Center for Strategic and International StudiesのSVPでディレクターでもあるJames A. Lewisが、今日の声明文の中でこう語っている。“それだけ重要なコードでありながら、オープンソースのコードはパッチやアップデートがお留守になることがきわめて多い。どのソフトウェアにも、悪用されうる欠陥がある。それは、コードの本質だ。そういうバグが放置されたら、犯罪と破壊行為のための機会を作り出す。MozillaのSOSファンドは、オープンソース中のバグ発見と修正のためのインセンティブを作って、サイバーセキュリティにおけるギャップを埋める”。

自分のコードのセキュリティ監査を申請したいデベロッパーは、ここで申し込む。それらのコードはオープンソースで、しかも現状でメンテナンスが持続しているものでなければならない。Mozillaは、それらのソフトウェアが広く利用されていることや、その機能性の継続がインターネットやWebにとって重要であることも検証する。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。