Linux FoundationのサポートするOpen Source Security Foundation(OpenSSF)は、オープンソースソフトウェアのセキュリティを改善するコラボレーション活動のために、業界を越えたフォーラムを確立することを目標とする。創立メンバにはGoogle、Microsoft、GitHub、IBM、Red Hatといった企業が名を連ねている。
オープンソースが広く浸透するのに伴って、社会全体を通じたミッションクリティカルなシステムをサポートする、重要なインフラストラクチャを構築し、維持する上において、そのセキュリティが大きな懸案事項になりつつあります。私たち業界が一体となり、オープンソースのセキュリティを向上させるための協力的かつ重点的な活動に取り組むことが、かつてないほど重要になってきています。世界のテクノロジインフラストラクチャが、それを必要としているのです。
MicrosoftでAzureを担当するCTOのMark Russinovich氏は、オープンソースセキュリティがコミュニティ活動となるべき理由について、明確に説明している。
オープンソースソフトウェアは本質的にコミュニティ活動であり、それがために、品質やメンテナンスに責任を負う中心的オーソリティというものが存在しません。[...] オープンソースソフトウェアでは、攻撃者がプロジェクトのメンテナになってマルウェアを導入するなど、コミュニティの本質的部分に対する攻撃に対しても脆弱です。オープンソースソフトウェアの複雑性と共有性を考えれば、優れたセキュリテイの構築もまた、コミュニティ主導のプロセスであるべきなのです。
OpenSSFは、Core Infrastructure InitiativeやGitHubのOpen Source Security Coalitionを始めとする、さまざまなオープンソースセキュリティのイニシアティブを一体にまとめようというものだ。同時に、重要なセキュリティ懸念に対するいくつかのワーキンググループも創設する予定である。具体的には、脆弱性の修正とフィックス配布の時間的改善を目的とした脆弱性開示、既存のセキュリティツールの改善と新たな開発を目指すセキュリティツーリング、オープンソースプロジェクトの各コンポーネントのセキュリティ面での対応レベルを適切に評価するための重点的メトリクスの作成、セキュリティ上のベストプラクティス、といった活動を予定している。
さらにOpenSSFには、重要なプロジェクトを支援して、セキュリティを保証するために必要なサポートを提供するという目標もある。
セキュリティ専門家による特別な支援にせよ、単なる資金やクラウドクレジットの提供であるにせよ、プロジェクトに同じものは2つとないのですから、サポートも多様なものになることは明らかです。アップストリームのメンテナと協力して必要な支援やサポートが何であるかを理解するとともに、こうした支援を可能にするスケーラブルなプロセスを開発したいと考えています。
特にGoogleとMicrosoftは、OpenSSFに参加する上で、特に重点的に取り組む領域として、セキュリティのベストプラクティスの実施改善のためのスキーマとメタデータの共有、脆弱性を特定のコードバージョンにマップするための依存関係管理とリスクアセスメント、自身のTektonのようなビルド検証ツール、開発者IDによる変更と作者との関連付け、などを挙げている。
OpenSSFへの参加と並行してGitHubは、自社のオープンソースセキュリティへの取り組みを表明し、新たなセキュリティ機能への投資と開発、公開リポジトリに対する無償提供を今後も継続すると述べている。