OpenSSFを拡大・支援するため1,000万ドルの新規投資を調達、「The 2021 Open Source Jobs Report」を公開、ほか

このOpenSSFは、2020年8月に設立された団体ですが、それ以前から活動していたCore Infrastructure Initiative(CII)や、GitHubのOpen Source Security Coalition(OSSC)のほか、GitHubやGitLab、Google、IBM、Microsoft、NCC Group、OWASP Foundation、Red Hat、VMwareなどのオープンソースのセキュリティに精通した企業の取り組みを結集したものになります。CIIはHeartbleedバグ(2014年)に対処するために設立されたLFのイニチアチブで、OSSCはGitHub Security Labによって設立されたものです。

OpenSSFには、主なWGとして以下のようなものがあります。

• Vulnerability Disclosures(脆弱性の公開)
  脆弱性を修正し、エコシステム全体に展開するまでの時間を数カ月ではなく数分単位にすることを目指す。そのために脆弱性報告/協調開示のための統一されたフォーマットとAPIを作成し、幅広い採用を促進する。
• Security Tooling(セキュリティツール)
  オープンソース開発者に最高のセキュリティツールを提供し、それらをどこからでもアクセスできるようにする。そのために、メンバーが協力して既存のセキュリティツールを改善し、より広範なオープンソースコミュニティのニーズに合わせて新しいものを開発できるようにする。
• Identifying Security Threats to Open Source Projects(オープンソースプロジェクトに対するセキュリティ脅威の特定)
  オープンソースソフトウェアのステークホルダーたちがプロジェクトのセキュリティについて信頼性の高い情報を得られるようにする。一連の主要なメトリクスを特定し、そのメトリクスをステークホルダーに伝えるためのツール(API、Web UI)を構築することで、ステークホルダーが個々のオープンソースコンポーネントのセキュリティ態勢を理解できるようにする。
• Security Best Practices(セキュリティのベストプラクティス)
  オープンソース開発者にセキュリティに関するベストプラクティスの推奨事項を提供する。これにより、重要なプロジェクトのセキュリティ確保と、監査、保証、対応チーム、改善など実践的な作業を実施できるようにする。
• Digital Identity Attestation(オープンソースコードの信頼性確保)
  オープンソースのメンテナー、コントリビューター、エンドユーザーが、自分が維持、生産、使用しているコードの出所や起源について理解し、判断できるようにする。
• Securing Critical Projects(重要なプロジェクトをセキュアにする)
  重要なオープンソースプロジェクトのハンズオン支援

現在、OpenSSFには、64社が参加しており、日本からは、サイバートラスト社2021年7月に参加しています。

Linux FoundationとedXによるレポートで明らかに
ー 人材不足が続く中、半数の企業が採用を加速

9月20日、LFはオープンソース人材の採用やトレーニングの動向に関する年次報告書の最新版「The 2021 Open Source Jobs Report」を公開しました。このレポートは、2021年6月8日から7月19日にかけて、世界各国の大企業や中小企業、政府機関、人材派遣会社の200人以上の採用マネジャーと、世界各国の750人以上のオープンソースプロフェッショナルを対象として、人材採用に関するニーズ等について調査を行いました。

【参照リリース】Linux FoundationとedXによるレポートで明らかに ー 人材不足が続く中、半数の企業が採用を加速
https://training.linuxfoundation.org/ja/blog/linux-foundation-and-edx-report-reveals-50-of-companies-accelerated-hiring-as-talent-shortage-persists/

「最もホットなスキルセット」や「オープンソースの貢献の価値」などの項目について、採用担当者、オープンソースプロフェッショナル及びLFの視点について、記述されており興味深い内容となっています。

この中から、ホットなスキルセットについて紹介したいと思います。今回のレポートで、初めてクラウドネイティブテクノロジーがLinuxを上回りました。クラウドネイティブなスキルに対する需要の高まりは、LFが実施しているトレーニングや認定試験の結果にも表れています。2020年上半期は、Kubernetesの認定試験の受験者が2019年に比べて4倍になっています。さらに、2021年の上半期にはさらに43％増加しています。2019年上半期から2021年にかけて、Kubernetesの認定試験の重要が4.5倍になっています。さらに、Kubernetesの貢献者も過去3年間で88％も増えており、Kubernetesがもっともホットなスキルになってきたことは明らかです。

また、採用担当者の36％がオープンソース人材の確保が困難であると回答しており、これに対処するため、既存の従業員のトレーニングを増やしていると回答しています。従来は適切な候補者が現れるまで採用を遅らせるという方法をとっていたようですが、この方法では手遅れになってしまうことも多くあり、34％が人材不足のために新しいテクノロジーを活用したプロジェクトの導入を遅らせたと回答しています。このようにオープンソース技術者を早期に獲得しなければ、業務に重大な影響を及ぼしかねない事態になっています。

この他にも興味深い内容が含まれているレポートなので、ぜひご覧いただければと思います。

SPDXがSBOMの国際標準に

9月9日、LF、Joint Development Foundation、およびSPDXコミュニティは、Software Package Data Exchange(SPDX)仕様が ISO/IEC 5962:2021 として公開され、セキュリティ、ライセンス コンプライアンス、およびその他のソフトウェア サプライチェーン成果物に関する国際オープン標準として認められたことを発表しました。ISO/IEC JTC 1は独立した非政府標準化団体です。

【参照リリース】SPDXがSBOMの国際標準に
https://www.linuxfoundation.jp/press-release/2021/09/spdx-becomes-internationally-recognized-standard-for-software-bill-of-materials/

SPDXは、コンポーネント、ライセンス、著作権、セキュリティ リファレンスなどのソフトウェア部品表(SBOM)情報を伝達するためのオープンな標準で、2021年5月に発令されたサイバーセキュリティに関する米国大統領令で求められている要件に対応しています。

現代のアプリケーションの80～90%は、オープンソース ソフトウェア コンポーネントを使用しています。SBOMは、アプリケーションに含まれるソフトウェア コンポーネント(オープンソース、プロプライエタリ、またはサードパーティ)について、それらの出所・ライセンス・セキュリティ属性の詳細について記述されています。したがって、ソフトウェア サプライチェーン全体でコンポーネントを追跡するための基本的なプラクティスの一部として使用できます。さらに、ソフトウェアの問題とリスクを事前に特定し、それらを修正するための開始点を確立するのにも活用できます。

SBOMには多くのユースケースがあり、ライセンス コンプライアンスなどの分野で頻繁に使用されていますが、セキュリティ、輸出管理、さらにはM&A(合併/買収)プロセスやベンチャーキャピタル投資などの広範なプロセスにおいても同様に活用できます。

LFは10年以上にわたってSPDXの開発と改良を行ってきており、SPDXはソフトウェア業界の企業やプロジェクトに広く取り入れられています。最近の注目すべきコントリビューションの例としては、日立、富士通、東芝などの企業が、SPDX 2.2仕様リリースにおいて「SPDX Lite」のような任意追加プロファイルによって標準を拡張し、さらにプロプラエタリとオープンソースの自動化ソリューションでSPDX SBOMをサポートしたことが挙げられます。

このように、LFの活動成果が国際標準になり、今後SPDXがグローバルで活用されることになれば、国際標準の策定のプロセスにコミュニティ活動の成果が活用されるということで、変化が起きている言っても良いでしょう。