Googleが1億円規模の「オープンソースソフトウェア支援プログラム」への資金提供を発表、1億円は「まだ序の口」

Googleが2021年10月1日に、オープンソースソフトウェアの安全性への貢献者に報奨金を支給するプログラムに対し、100万ドル(約1億1000万円)を提供することを発表しました。

Google Online Security Blog: Introducing the Secure Open Source Pilot Program
https://security.googleblog.com/2021/10/introducing-secure-open-source-pilot.html

Googleはオープンソースソフトウェアの発展や安全性に多額の投資を行っており、2021年8月にはオープンソースセキュリティ対策事業に対する1​​億ドル(約110億円)の支援策を含む総額100億ドル(約1兆1100億円)の出資を発表しました。

Googleが1兆円・Microsoftは2兆円規模のセキュリティ対策を政府と約束、新たなフレームワークも構築へ - GIGAZINE

by Blue Coat Photos

こうした取り組みに続き、Googleは10月1日に公式ブログで、Linux Foundationが運営する「Secure Open Source(SOS)」のパイロットプログラムに100万ドルを拠出することを発表しました。GoogleはSOSを出資先に選定した理由について、「SOSは、重要なオープンソースソフトウェアとそれを支えるインフラを攻撃から積極的に守るための、非常に幅広い改善に報いるためものです。脆弱(ぜいじゃく)性対策に報償を与える既存のプログラムを補完するため、SOSの支援対象は比較的幅広い作業に適用されます」と述べて、その間口の広さが重要だったと説明しました。

SOSの支援対象は多岐に渡るため、報奨金が支給されるプロジェクトはその内容や影響などの全体を見て選考されますが、おおむね「サイバーセキュリティに関する大統領令」に基づきアメリカ国立標準技術研究所が制定した(PDFファイル)ガイドラインと以下の基準に則して選ばれます。
・セキュリティの向上によって恩恵を受けるユーザーの数と種類。
・インフラやユーザーのセキュリティにどのくらい大きな影響を与えたか。
・仮にプロジェクトが危機に陥った場合における深刻さと影響の範囲。
・改善した脆弱性が、フリーソフトウェアなどの脆弱性を評価するCensus Program IIで指定されているか。または同様のオープンソースプロジェクトOpenSSF Critically Scoreで0.6以上の重要性スコアが与えられているか。

また、報奨金の金額はプロジェクトの影響と複雑さによって、以下の通り決定されます。
・影響を受けるコードやサポートするインフラの重大な脆弱性をほぼ確実に防ぐことができる、複雑で影響力が大きく永続的な改善の場合は、1万ドル(約110万円)以上。
・キュリティ上のメリットが大きい複雑さが中程度の改善は5000ドル(約55万円)〜1万ドル。
・小規模ながらセキュリティの観点からメリットのある改善には505ドル(約5万6000円)。

プログラムへの応募方法といった詳細はSOSのFAQを参照して欲しいとのこと。Googleは今後の展開について「SOSは、世界がオープンソースソフトウェアに依存しているのにその安全を維持するには広範なサポートと資金提供が必要という現状を解決するための、幅広い取り組みの一環です。従って、今回の100万ドルの支出は始まりに過ぎません。私たちは、SOSのパイロットプログラムが将来の取り組みの出発点となり、他の大組織を巻き込んで、持続可能で長期的な運動に発展することを期待しています」と述べて、支援の枠組みを今後さらに拡大させる姿勢を示しました。