Alpha-Omegaプロジェクトがオープンソースのセキュリティ強化における発展を紹介する「Alpha-Omega 2024 アニュアルレポート」を公開

こんにちは、吉田です。今回は、Open Source Security Foundation (OpenSSF) Alpha-Omegaプロジェクトから発行された「Alpha-Omega 2024 アニュアルレポート」について紹介します。

【参照】Alpha-Omega 2024 アニュアルレポート
https://www.linuxfoundation.jp/Alpha-Omega-Annual-Report-2024-jp-pdf

Alpha-Omegaプロジェクトとは

Alpha-Omegaプロジェクトは、2022年2月に設立されたOpenSSFの関連プロジェクトで、Microsoft、Google、Amazonの資金提供を受け、最も重要なオープンソース ソフトウェア プロジェクトおよび、エコシステムに持続可能なセキュリティ改善を促すことで社会を守ることをミッションとしています。

具体的には、以下の2つの側面からアプローチしています。

• Alpha(アルファ): 最も重要だと評価され選ばれたオープンソースプロジェクトに協力し、セキュリティ体制の改善を個別に支援します。プロジェクトの選択は、OpenSSFセキュアリングクリティカルプロジェクトワーキンググループ、OpenSSFクリティカリティスコア、ハーバード大学による調査、専門家の意見などを基に行われます。支援内容には脅威のモデリング、セキュリティテスト自動化、ソースコード監査、発見された脆弱性の修正をサポートすることなどが含まれます。
• Omega(オメガ): 1万以上のオープンソースプロジェクトを対象にセキュリティ対策を支援します。支援内容としては自動化された手法とツールを用い、クラウドによる技術分析、セキュリティ分析によるトリアージ、プロジェクトに対して重要な脆弱性情報を内密に報告することなどが行われます。

2024年、Alpha-Omegaプロジェクトは、主要なOSSプロジェクトのセキュリティ改善のために約450万ドルの助成金を交付し、以下のような活動を支援しました。

• Python Software Foundation、OpenJS、RubyGems、Rust Foundationなど、最も重要なオープンソース組織10社のスタッフ セキュリティチームを支援
• LinuxカーネルやHomebrewなど、クリティカルなインフラを強化するための助成金を支給
• OpenSSLを含むファウンデーション テクノロジーのセキュリティ監査費用を負担
• 脆弱性の発見と修正に対する段階的なアプローチを試行し、RustによるTLSとAV1コーデックの実装をサポート
• 助成金受給者との座談会を4回開催し、専門知識の交換を行い、2025年に向けた戦略を策定

以降では、それぞれのコミュニティが、これらの助成金でどのような影響を受けたかについて、もう少し見てみたいと思います。

Airflow

Airflowは、2014年にAirbnb社のMaxime Beauchemin氏によって開発が開始され、2015年にオープンソースとして公開されました。2016年にApache Software Foundationのインキュベータープロジェクトとなり、2019年にはトップレベルのプロジェクトに昇格しています。機能的にはワークフローを定義、スケジュール、監視するためのオープンソースのプラットフォームで、データエンジニアリングの領域で広く利用されており、複雑なデータ処理パイプラインの自動化と管理に不可欠なツールとなっています。

このAirflowプロジェクトとその依存関係のセキュリティを向上させるために、この助成金を活用して「Airflow Beach Cleaning」というプロジェクトに取り組みました。海岸には様々な種類の漂着物(セキュリティ上の脆弱性)が存在するように、Airflowのエコシステムにも多数の依存関係があり、それぞれに潜在的なセキュリティリスクが存在するため、それらを清掃するということにたとえたものでした。

具体的には、以下のような活動をしています。

• Airflowとその700以上にも及ぶ依存関係全体のセキュリティレビューと改善:
  個々のプロジェクトだけでなく、それらが相互に連携する全体のエコシステムとしてのセキュリティ強化を目指す
• オープンソースサプライチェーンのセキュリティ問題への対処:
  ソフトウェアの依存関係におけるセキュリティリスクに対処するための新しいアプローチを模索
• コミュニティの連携促進:
  Apache Software Foundation(ASF)、Python Software Foundation(PSF)、Airflow Project Management Committee(PMC)、Alpha-Omega Fundといった関係者が協力して取り組む
• 自動化されたツールの活用
  : 大規模な依存関係を効率的に分析し、脆弱性を発見・修正するために、自動化されたセキュリティツールや手法を導入

このプロジェクトは進行中で、Airflowの最初の依存関係プロジェクトとの協議が開始されています。既に価値ある初期のフィードバックが得られており、メンテナンス担当者からポジティブなフィードバックを受けた後で、セキュリティの改善に向けた計画が立てられています。

OSTIF

OSTIF(Open Source Technology Improvement Fund)は、オープンソースソフトウェア(OSS)のセキュリティ向上を目的とした非営利団体で、その主な活動内容は以下の通りです。

• 重要なOSSプロジェクトのセキュリティ監査の実施:
  専門家チームがコードレビューや脆弱性テストを行い、セキュリティ上の問題点を発見し、改善策を提案する
• 脅威モデリングの支援:
  プロジェクトのセキュリティリスクを特定し、対策を講じるために支援する
• 脆弱性の報告と管理:
  発見された脆弱性の適切な報告と管理プロセスを支援する
• セキュリティ専門知識の提供:
  OSSコミュニティへセキュリティに関する知識やベストプラクティスを提供する
• 資金援助の仲介:
  セキュリティ監査などの活動に必要な資金を企業や団体から募り、OSSプロジェクトに提供する

OSTIFはAlpha-Omegaプロジェクトから30万ドルの助成金を受け取り、25のオープンソースプロジェクトに対して脅威モデリング、コードレビュー、脆弱性の報告と管理を行うために活用されました。また、潜在的な脆弱性を特定し、プロジェクトメンテナーにフィードバックと改善策を提供することを目的としてOpenSSL、Eclipse Jetty、Eclipse Equinox P2、KUKSAなどの重要なオープンソースプロジェクトのセキュリティ監査を実施しています。

Prossimo

Prossimoとは、Internet Security Research Group(ISRG)が主導するプロジェクトで、セキュリティ上の懸念があるCやC++で書かれた重要なオープンソースソフトウェアをメモリセーフなプログラミング言語であるRustで書き換えることを目的としています。これにより、インターネット上の最もクリティカルなソフトウェア インフラにメモリの安全性をもたらします。メモリ セーフ コードへの移行によりセキュリティ侵害やデータ漏洩につながる脆弱性が排除され、インターネット ユーザーの個人情報や金銭的な被害、不可欠な公共サービスの全面的な拒否、基本的人権や安全に対する脅威を回避できます。

Prossimoプロジェクトでは、Alpha-Omegaプロジェクトの支援を受け、Rustlsの強化とLinux KernelへのRust統合の推進をしています。メモリセーフなTLSライブラリであるRustlsの開発は、そのパフォーマンスと機能性を向上でき、さまざまなデバイスがTLSに依存してネットワーク上でセキュアに通信していることを考えると、OpenSSLの代替としてメモリセーフなTLSを提供することは、インターネット セキュリティの向上にクリティカルなものとなっています。

また、Linux用のRustの主要メンテナーであるMiguel Ojedaと協力し、RustのLinux kernelへのサポートを継続的に改善することで、Rustの最初の主要な商用ユーザーをアップストリームに統合できるようにしました。

＊　＊　＊　＊　＊

このように、オープンソースのセキュリティを確保するためのさまざまな取り組みが実施されているので、興味のある方は、ぜひ本ドキュメントをご覧いただければと思います。