米国土安全保障省(DHS)は、オープンソースソフトに対する保護の範囲を拡大する。
スタンフォード大学、分析会社のCoverity、セキュリティ企業のSymantecの広報担当は、CNET News.comのインタビューに答え、DHSが同省の「Science and Technology Directorate」を通じて、3者に対して総額124万ドルの助成金を支給したことを明らかにした。この助成金は、オープンソースソフトに潜むセキュリティバグの検知、ならびにCoverityが開発する商用のソースコード分析ツールの改善という2つの目的に使われる。
サンフランシスコに拠点を置くCoverityによると、DHSからの助成金は3年間かけて支払われることになるという。金額の内訳はスタンフォード大学が84万1276ドル、Coverityが29万7000ドル、Symantecが10万ドルになる。Coverityは11日に助成金の受領を発表する予定だ。
DHSが「Vulnerability Discovery and Remediation, Open Source Hardening Project(脆弱性を発見/修正し、オープンソースをより強固なものにするためのプロジェクト)」と名付けた今回の取り組みでは、スタンフォード大とCoverityが、各種の人気オープンソースソフトに組み込まれているコードのスキャンを日常的に行うシステムの構築/保守を担当する。その自動システムは3月までに稼動する予定で、その結果作成されるバグのデータベースは開発者に公開されるという。
公開されたデータは、重要なシステムに使用されるケースが増えているオープンソースソフトの保護に必ず役立つ、とアナリストらは語る。例えば、Linuxオペレーティングシステム(OS)、Apacheウェブサーバ、BINDインターネットインフラソフト、Firefoxブラウザの開発に取り組むプログラマーらは、自分たちの開発したコードを組み込んだアプリケーションやOSのリリース前に、同システムが警告を発したセキュリティの脆弱性を修正することができる。
同プロジェクトに取り組むスタンフォード大のDawson Engler助教授は、「われわれは最新の研究結果をもとに、自動検査をより深く、より完全なものにし、その結果をオープンソースインフラに適用し、それらをより強固なものにする」と述べ、さらに「現在、米国で使用されている重要なコンピューティングインフラの多くはオープンソースであり、それらに対する自動検査はあまり行われていない」と語った。
なお、スタンフォード大とCoverityがセキュリティバグの検査を実施する予定のオープンソースプロジェクトのリストには、Apache、BIND、Ethereal、KDE、Linux、Firefox、FreeBSD、OpenBSD、OpenSSL、MySQLといった人気プロジェクトが名を連ねている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」