Red Hat、オープンソース セキュリティに関する新たな取り組み

Red Hat は27日、オープンソース セキュリティに関するコミュニティ型の新たな取り組み『Open Source Software Security』(OSS-security) を発表した。この取り組みはメーリングリストをベースしたもので、セキュリティ問題をオープンに話し合うことができる。

ほかにもオープンソースのセキュリティに関する活動としては oCERT があり、Google や Novell などが支持している。Red Hat も同組織を支持しているが、正式なメンバーではない。

Red Hat のセキュリティ対応チーム上級エンジニア Josh Bressers 氏は取材に対し、「OSS-security と oCERT は、いかなる点でも関連するものではなく、また競合する意図もない」と答えた。「oCERT は、公にしにくい微妙なセキュリティ問題を扱うことに特化している。OSS-security はこうした問題を扱わず、公になっている問題や課題を話し合う場だ」

一方、oCERT を創設した Andrea Barisani 氏は、「oCERT.org に OSS-security へのリンクを設置しており、OSS-security を立ち上げたメンバーの1人は、oCERT の理事でもある」と語った。「われわれは相補的で、競合とはかけ離れた存在だ。オープンソース セキュリティ分野において、われわれが得ることのできるどんな助力も歓迎する」

Red Hat はすでに、脆弱性の報告があがる重要なメーリングリスト『vendor-sec』をはじめ、複数のセキュリティ関連の取り組みに参加している。Red Hat の Bressers 氏によると、OSS-security は vendor-sec と異なる役割を担うものだという。

Red Hat は OSS-security 唯一のメンバーではなく、Mandriva、Foresight Linux、Openwall などが参加している。Bressers 氏は、Red Hat と OSS-security のどちらからも、オープンソース プロジェクトに対して積極的な参加要請を行なっていない点を強調し、強力なコミュニティの構築によって、参加の輪が広がるとの考えを示した。