Googleも参加している オープンソースセキュリティ財団 (OpenSSF) が2020年11月6日に、オープンソースプロジェクトの安全性を自動的に評価できる「Security Scorecards」を発表しました。 Security Scorecards for Open Source Projects - Open Source Security Foundation https://openssf.org/blog/2020/11/06/security-scorecards-for-open-source-projects/ Security scorecards for open source projects | Google Open Source Blog https://opensource.googleblog.com/2020/11/security-scorecards-for-open-source.html オープンソースソフトウェアの開発現場では、ゼロからコードを書くのではなく、パッケージ化された別のオープンソースソフトウェアの機能を使用することが あります 。このように、あるオブジェクトが別のオブジェクトに依存して動作する仕組みは「 依存関係 」と呼ばれています。 Googleなどの大手IT企業でも、ソフトウェアにオープンソースプロジェクトに依存関係を組み込むことがありますが、パッケージが安全なのかどうかを確認するのは非常に骨が折れる作業とのこと。Googleでさえ依存関係の導入には手を焼いているため、小規模でリソースが限られているオープンソースプロジェクトプロジェクトの開発現場では、セキュリティが二の次になっていることがしばしばだと、GoogleのプロダクトマネージャーであるKim Lewandowski氏は指摘しています。

2020年11月10日 21時00分00秒 in ソフトウェア, セキュリティ, Posted by log1l_ks

