• Community
  • Opensource
  • Security

    • GitHub Secure Open Source Fundを発表: オープンソースエコシステムのセキュリティを支援します

    Image of tomokota

    tomokota
    Author
    Image of Martin Woodward

    Martin Woodward

    GitHub Secure Open Source Fundの応募を開始しました!応募は1月7日午後11時59分(太平洋時間)に締め切られるまで、順次レビューされます。プログラムと資金提供は2025年初頭に開始される予定です。

    本日「GitHub Secure Open Source Fund」の応募受付を開始します。 オープンソースプロジェクトのセキュリティと持続可能性を財政的、プログラム的に向上させることを目的としたプログラムです。 応募は随時受け付けており、締め切りは1月7日午後11時59分(太平洋時間)です。

    このプログラムは、アルフレッド・P・スローン財団、アメリカン・エキスプレス、Chainguard、HeroDevs、Kraken、Mayfield Fund、Microsoft、1Password、Shopify、Stripe、Superbloom、Vercel、Zerodhaなどの支援を受けて、125のプロジェクトに125万ドルを投資します。本日の発表を皮切りに、オープンソースのセキュリティに資金を提供するミッションに参加するパートナーを引き続き募集します。また、純粋な財政的支援とは別に、3週間のプログラムでは、メンテナーにセキュリティ教育、メンターシップ、ツール導入、認定などのサポートを提供します。プログラムの参加資格と特典の詳細については、以下をご覧ください。

    今日、世界が依存しているオープンソースの多くを維持している人々にとって、セキュリティは重要である一方、人気のあるオープンソースプロジェクトを運営する中で必要な多くの作業の中で、優先させることが難しいこともあります。さらに、新たな研究によると、企業はオープンソースに数十億ドルを投資しているものの、サイバーセキュリティ監査は重視されていません。自分のオープンソースプロジェクトが、セキュリティ問題の原因になることを望む人はいませんが、すべてを最新に保ち、セキュリティレポートに対処し、修正プログラムをリリースするには時間がかかります。そして、プロジェクトを余暇を利用してメンテナンスしている場合、その時間を確保するのが非常に難しいことが多いのです。

    メンテナー、財団、そして私たちのような企業と話し合いをするなかで、私たちは別の支援する方法を作りたいと考えました。 あるメンテナーにとっては、資金を得ることができれば、セキュリティに専念する時間を確保することができます。他のメンテナーにとっては、学習、専門家、コミュニティが助けになります。GitHub Secure Open Source Fundは、他のオープンソース資金提供者やコミュニティ主導のセキュリティ実践からの学びを基に構築された、資金調達と連動した初のコホートベースのプログラムです。その目的は、目的を共有するメンテナーと資金提供者からなるセキュリティ重視のコミュニティを構築することで、プロジェクトのセキュリティをスケーラブルな方法で向上させることです。コミュニティは、セキュリティリスクの低減、プロジェクトのセキュリティステータスの可視化と洞察、一貫性のある報告の恩恵を受けることができます。

    私たちはエコシステム全体に目を向け、依存関係グラフは、単にソフトウェアのつながり以上のものだと考えています。それはオープンソースの成功と持続可能性の根底を支えている人々なのです。私たちがセキュリティに投資するのは、ソフトウェア・セキュリティはグローバルなソフトウェア・エコシステムにとって極めて重要であり、多くの企業にとって、セキュア・バイ・デザインEUサイバー・レジリエンス法のような政策に対応し、長期的な持続可能性を実現するためには不可欠であるからです。

    「オープンソースは、私たちの開発者がイノベーションを推進し、協力し、共有することを可能にすることで、アメリカン・エキスプレスが世界最高の顧客体験を毎日提供するのに役立っています。オープンソースソフトウェアのセキュリティは、当社にとって長年の優先事項です。この重要なプログラムを支援できることを誇りに思います。このプログラムは、スケーラブルな方法でセキュリティを向上させ、オープンソースのメンテナーが安全なソフトウェアを実装するためのサポートを提供します。」
    アメリカン・エキスプレス 最高技術責任者 ヒラリー・パッカー

    「私たちは、非常に大きな恩恵を受けているFOSS(フリー&オープンソースソフトウェア)エコシステムへの長年のコミットメントに基づき、GitHub Secure Open Source Fundへの支援を行っています。このプログラムは、FOSS開発者に直接資金を届けると同時に、すべての人に利益をもたらす重要なセキュリティ改善を可能にするという、非常に魅力的なWin-Winの取り組みであると考えています。」
    Zerodha CTO カイラシュ・ナード博士

    プログラムの参加資格と特典

    GitHub は、セキュリティ教育、専門家との連携、コミュニティ支援、プロモーション、年 2 回のセキュリティ健全性レポートを提供します。メンテナーは、セキュリティの原則を実践的に学ぶことができ、GitHub Copilot や Copilot Autofix のようなツールを利用して、セキュリティ態勢の改善、セキュリティ負債の削減、ダウンストリームユーザーの信頼性向上に役立たせることができます。資金はすべて、GitHub Sponsorsを通じて直接メンテナーに提供されます。現在、有効なオープンソースライセンスを持つオープンソースプロジェクトのメンテナーで、GitHub Sponsorsがサポートする地域にお住まいの方であれば、どなたでもご応募いただけます。

    参加者が受け取れるもの:

    • 資金:プログラムのマイルストーンとチェックポイントに沿って、1プロジェクトにつき1万ドルの資金を提供します。
    • 教育:3週間のプログラムで、毎週5~10時間のコミットメントが求められます。1対1の指導、ワークショップ、グループ・セッション、プロジェクト作業、メンターシップを組み合わせた内容です。プロジェクト作業では、プロジェクト、プログラムマネージャー、GitHub Security Labの間で合意されたプロジェクト固有のセキュリティマイルストーンに向けた集中的な作業も行います。
    • チェックイン:教育プログラム終了後6ヶ月と12ヶ月のチェックポイント。
    • GitHubセキュリティとのオフィスアワーGitHub Security Labチームとの専用時間を設け、効果的なセキュリティポリシーやインシデント管理計画・サポートのためのベストプラクティスを確立します。
    • 交流の機会:GitHub Sponsorsの資金提供者、コミュニティメンバー、GitHubリーダーとのQ&Aセッション。
    • 専門知識:GitHub Security Labのセキュリティ専門家や、GitHub Sponsorsの資金提供者、コミュニティメンバー、GitHubリーダーとのQ&Aセッションを通じた知識の共有。
    • ツール:GitHub Copilot、Copilot Autofix、シークレットスキャンなどのツールを含む、関連する GitHub 製品への無償利用とトレーニング。
    • コミュニティ:新しいGitHub Secure Open Sourceコミュニティへのアクセス。
    • プログラム修了後のサポート:GitHubから継続的なネットワーキングとサポートの機会を提供。
    • ポリシー教育セキュア・バイ・デザインEUサイバー・レジリエンス法などのポリシーに対応するためのプロジェクトの準備。
    • 認証と健全性レポート:プログラム認証と年 2 回のセキュリティ健全性レビュー。

    2024年のオープンソース資金の現状を理解する

    GitHubは、開発者、パートナー、顧客から成るコミュニティなしには成り立ちません。これまでGitHub Sponsorsを通じて、企業がオープンソース依存関係に投資する影響を目の当たりにしてきました。一般的な依存関係のサポート新しいアイディアの実現、あるいはフルタイムのキャリアの創出など、オープンソースに投資する影響は多岐にわたります。GitHub Sponsorsの企業向けのサポートを導入して以来、MicrosoftStripeを含む5.8K以上の企業がGitHub上のメンテナーやプロジェクトに投資し、前年比約40%増となりました。累計で6,000万ドル以上の資金が提供され、メンテナーがプロジェクトにより多くの時間を費やせるようサポートしてきました。

    しかし、組織や企業がオープンソースを支援するさいの潜在的な課題や機会を改善する余地がまだあります。今年の夏、私たちはLinux Foundationとハーバード大学のLaboratory for Innovation Science at Harvard (LISH)の研究者と協力し、オープンソースの資金調達の現状についてさらに詳しく調べ、組織の資金調達行動、潜在的な不一致、および改善の機会を評価しました。その結果、以下のことがわかりました:

    • 調査対象の企業は、オープンソースに年間17億ドルを投資していることから、オープンソースのエコシステム全体で年間約77億ドルが投資されていると推定できます。
    • 投資の86%は、資金提供組織のために働く従業員や請負業者による貢献労働の形で行われており、残りの14%は直接的な財務支援に該当します。
    • 企業の65%は貢献内容と場所を把握していると回答しましたが、具体的な透明性を持つのは38%にとどまりました。
    • セキュリティ対策は、バグと修正や保守に集中しており、包括的なセキュリ ティ監査が優先事項であると回答したのはわずか6%であった。

    オープンソースへの資金提供を拡大することで、私たち全員が恩恵を受けることができます。オープンソースセキュリティのような課題にエコシステム全体で取り組むことで、オープンソースの持続可能性に不可欠な資金とリソースを創出できると信じています。しかしすべてのオープンソースプロジェクトやメンテナーが、資金やトレーニングにアクセスできるわけではありません。だからこそ、私たちは、誰でも申請できる基金を創設したのです。トレーニング、ツール導入、指導、財政的支援を受けることで、プロジェクトのセキュリティ向上に時間を投資できるようになり、一部の人々にとって大きな転機となるでしょう。私たちは、エコシステムを形成する他の団体、プロジェクト、コミュニティの活動に勇気づけられています。CURIOUSS、Ecosyste.ms、Laboratory for Innovation Science at Harvard、Mozilla Foundation、OpenJS、OpenSSF、Open Source Initiative、Open Technology Fund、Open Source Collective、Sovereign Tech Fund、Sustain OSSなどのエコシステム・パートナーは、私たちがこのアイディアを実現するためにフィードバック、アイディアを提供し関与してくれました。

    「GitHub Secure Open Source FundがOpenSSFコミュニティの知見を活用し、重要なプロジェクトや開発者と直接関わることで、ソフトウェアやコミュニティのセキュリティ体制を向上させる手助けをすることを、私たちはとても楽しみにしています。オープンソースを支える原動力は人々であると長らく理解しており、このモデルがGitHub、ハーバード大学、Linux Foundation、そしてOpenSSFコミュニティ間の研究協力を基盤としていることを嬉しく思うとともに、この取り組みがオープンソースの持続可能性とセキュリティに前向きな影響をもたらすことを期待しています。」
    Linux Foundation リサーチSVP ヒラリー・カーター
    Linux Foundation OpenSSFチーフアーキテクト クリストファー・ロビンソン

    10億人の未来を支えるために

    GitHub Secure Open Source Fundは、オープンソースを安全に保つための取り組みの一歩です。これだけで完全な解決策になるわけではありませんが、確実に貢献できると信じています。これらの投資の影響をモニタリングし、学びを共有していきます。

    新しいプログラムや支援活動を通じて、より安全で多様性に富み、持続可能なオープンソースエコシステムの実現を目指しましょう。セキュリティの意識を高める文化を育み、オープンソースセキュリティへの投資価値を示すことは、すべてのステークホルダーにとって重要です。財政支援、安全なオープンソース実践の推進、専門知識の共有、セキュアな運用の推進といった形で協力し、強く、持続可能なオープンソースコミュニティを共に築き上げましょう。

    Tags:

    Related posts