米国 CISA他 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け
こんにちは、丸山満彦です。
オープンソースは、公共財という考えのもと、オープンソース・ソフトウェア・セキュリティ・イニシアティブ (Open-Source Software Security Initiative; OS3I) を立ち上げ、公共財のセキュリティを確保することは、国として重要であろうということで、国家サイバー長官室(ONCD)、サイバーセキュリティ・インフラセキュリティ保障局(CISA)、米国科学財団(NSF)、国防高等研究計画局(DARPA)、行政管理予算局(OMB)がオープンソース・ソフトウェア・セキュリティの長期的な重点分野と優先順位付けについての意見募集(情報提供依頼 RFI)をしていますね。。。
ここに至るには、SolarWinds、Log4jの事件の影響は大きかったでしょうね。。。
ちなみに想定している重点分野等...
Potential Areas of Focus | 想定される重点分野 |
• Area: Secure Open-Source Software Foundations | • 分野:セキュアなオープンソースソフトウェアの基盤 |
○ Sub-area: Fostering the adoption of memory safe programming languages | ○ サブ分野:メモリ安全プログラミング言語の採用の促進 |
○ Sub-Area: Reducing entire classes of vulnerabilities at scale | ○ サブ分野:脆弱性のクラス全体の大規模な削減 |
○ Sub-Area: Strengthening the software supply chain | ○ サブ分野:ソフトウェアのサプライチェーンの強化 |
○ Sub-Area: Developer education | ○ サブ分野:開発者教育 |
• Area: Sustaining Open-Source Software Communities and Governance | • 分野: オープンソースソフトウェアコミュニティとガバナンスの維持 |
• Area: Behavioral and Economic Incentives to Secure the Open-Source Software cosystem | • 分野:オープンソースソフトウェアのコシステムを保護するための行動的・経済的インセンティブ |
• Area: R&D/Innovation | • 分野:研究開発/イノベーション |
• Area: International Collaboration | • 分野:国際協力 |
・2023.08.10 Request for Information: Open-Source Software Security: Areas of Long-Term Focus and Prioritization
Request for Information: Open-Source Software Security: Areas of Long-Term Focus and Prioritization | 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け |
Action | 行動 |
Request for information (RFI). | 情報提供要請(RFI)。 |
Summary | 概要 |
The Office of the National Cyber Director (ONCD), the Cybersecurity Infrastructure Security Agency (CISA), the National Science Foundation (NSF), the Defense Advanced Research Projects Agency (DARPA), and the Office of Management and Budget (OMB) invite public comments on areas of long-term focus and prioritization on open-source software security. | 国家サイバー長官室(ONCD)、サイバーセキュリティ・インフラセキュリティ保障局(CISA)、米国科学財団(NSF)、国防高等研究計画局(DARPA)、および行政管理予算局(OMB)は、オープンソースソフトウェアのセキュリティに関する長期的な重点分野と優先順位付けに関するパブリックコメントを募集する。 |
Supplementary Information | 補足情報 |
As highlighted in the National Cybersecurity Strategy, and its Implementation Plan Initiative 4.2.1, the ONCD has established an Open-Source Software Security Initiative (OS3I) to champion the adoption of memory safe programming languages and open-source software security. The security and resiliency of open-source software is a national security, economic, and a technology innovation imperative. Because open-source software plays a vital and ubiquitous role across the Federal Government and critical infrastructure, (1) vulnerabilities in open-source software components may cause widespread downstream detrimental effects. The Federal Government recognizes the immense benefits of open-source software, which enables software development at an incredible pace and fosters significant innovation and collaboration. In light of these factors, as well as the status of open-source software as a free public good, it may be appropriate to make open-source software a national public priority to help ensure the security, sustainability, and health of the open-source software ecosystem. | 国家サイバーセキュリティ戦略およびその実施計画イニシアティブ4.2.1で強調されているように、ONCDは、メモリ安全プログラミング言語とオープンソースソフトウェアセキュリティの採用を支持するために、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)を設立した。オープンソースソフトウェアのセキュリティとレジリエンスは、国家安全保障、経済、そして技術革新の急務である。オープンソースソフトウェアは、連邦政府および重要なインフラにおいて重要かつユビキタスな役割を果たしているため、(1) オープンソースソフトウェアコンポーネントの脆弱性は、下流に広く悪影響を及ぼす可能性がある。連邦政府は、オープンソースソフトウェアの多大な利点を認識している。オープンソースソフトウェアは、驚異的なスピードでソフトウェア開発を可能にし、多大なイノベーションとコラボレーションを促進する。これらの要因に加え、オープンソースソフトウェアが無償の公共財であることを考慮すると、オープンソースソフトウェアのエコシステムの安全性、持続可能性、健全性を確保するために、オープンソースソフトウェアを国家公共優先事項とすることが適切であろう。 |
In 2021, following the aftermath of the Log4Shell vulnerability, ONCD in collaboration with the Office of Management and Budget's (OMB) Office of the Federal Chief Information Officer (OFCIO), established the Open-Source Software Security Initiative (OS3I) interagency working group with the goal of channeling government resources to foster greater open-source software security. Since then, OS3I has welcomed many other interagency partners, including the Cybersecurity Infrastructure Security Agency (CISA), the National Science Foundation (NSF), Defense Advanced Research Projects Agency (DARPA), National Institute of Standards and Technology (NIST), Center for Medicare & Medicaid Services (CMS), and Lawrence Livermore National Laboratory (LLNL) in order to identify open-source software security priorities and implement policy solutions. | 2021年、Log4Shellの脆弱性の余波を受け、ONCDは、政府管理予算局(OMB)の連邦最高情報責任者室(OFCIO)と共同で、オープンソースソフトウェアのセキュリティを強化するために政府のリソースを活用することを目的に、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)省庁間ワーキンググループを設立した。それ以来、OS3I は、オープンソースソフトウェアセキュリティの優先事項を特定し、政策的解決策を実施するために、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家科学財団(NSF)、国防高等研究計画局(DARPA)、国立標準技術研究所(NIST)、メディケア&メディケイドサービスセンター(CMS)、ローレンス・リバモア国立研究所(LLNL)など、多くの省庁間パートナーを迎えてきた。 |
Over the past year, OS3I identified several focus areas, including: (1) reducing the proliferation of memory unsafe programming languages; (2) designing implementation requirements for secure and privacy-preserving security attestations; and (3) identifying new focus areas for prioritization. | 過去1年間で、OS3Iは、(1)メモリが安全でないプログラミング言語の拡散を減らすこと、(2)安全でプライバシーを保護するセキュリティ証明の実装要件を設計すること、(3)優先順位をつけるための新しい重点分野を特定すること、を含むいくつかの重点分野を特定した。 |
This Request for Information (RFI) aims to further the work of OS3I by identifying areas most appropriate to focus government priorities, and addressing critical questions such as: | この情報提供要請書(RFI)は、政府の優先事項に最も適した分野を特定し、次のような重要な問題に取り組むことにより、OS3Iの活動を促進することを目的としている: |
How should the Federal Government contribute to driving down the most important systemic risks in open-source software? | 連邦政府は、オープンソースソフトウェアにおける最も重要なシステミック・リスクの低減にどのように貢献すべきか? |
How can the Federal Government help foster the long-term sustainability of open-source software communities? | 連邦政府は、オープンソースソフトウェアコミュニティの長期的な持続可能性の促進にどのように貢献できるか? |
How should open-source software security solutions be implemented from a technical and resourcing perspective? | オープンソースソフトウェアのセキュリティソリューションは、技術的・人材的観点からどのように実装されるべきか? |
This RFI represents a continuation of OS3I's efforts to gather input from a broad array of stakeholders. | このRFIは、幅広い利害関係者から意見を集めるというOS3Iの努力の継続を意味する。 |
Three-Phase RFI Approach | 三段階のRFIのアプローチ |
For this RFI, the Government intends to engage with interested parties in three phases: | 本RFIにおいて、政府は3つのフェーズで関係者に関与することを意図している: |
Phase I—Addressing Respondent Questions About this RFI | 第1段階-本RFIに関する対応者の質問への対応 |
• If you have any questions about the context of the Government's RFI, the processes described, or the numbered topics below, you may send them to OS3IRFI@ncd.eop.gov by August 18, 2023. | • 政府のRFIの背景、説明されているプロセス、または以下の番号付けされたトピックについて質問 がある場合は、2023年8月18日までにOS3IRFI@ncd.eop.gov。 |
• By August 28, 2023, the Government will post responses to select questions on www.regulations.gov, as appropriate. | • 政府は、2023 年 8 月 28 日までに、一部の質問に対する回答を www.regulations.gov に掲載する。 |
Phase II—Submittal of Responses to the RFI by Interested Respondents | フェーズⅡ-関心のある対応者によるRFIへの回答の提出 |
• By October 9, 2023, all interested respondents should submit a written RFI response, in MS Word or PDF format, focusing on questions for which they have expertise and insights for the Government (no longer than 10 pages typed, size eleven font) to OS3IRFI@ncd.eop.gov with the email subject header “Open-Source Software Security RFI Response” and your organization's name. | • 2023年10月9日までに、関心のあるすべての回答者は、MSワードまたはPDF形式で、専門知識と洞察力を政府に提供する質問に焦点を当てたRFI回答書(タイプ10ページ以内、フォントサイズ11)を、電子メールの件名ヘッダ「オープンソースソフトウェアセキュリティRFI対応」と組織名を添えて、OS3IRFI@ncd.eop.gov。 |
Title page, cover letter, table of contents, and appendix are not included within the 10-page limit. In the body of the email, also include contact information for your organization (POC Name, Title, Phone, Email, Organization Name, and Organization Address). | タイトルページ、カバーレター、目次、附属書は10ページの制限に含まれない。メール本文には、所属組織の連絡先情報(POC名、役職、電話、Eメール、組織名、組織住所)も記載すること。 |
Phase III—Government Review | 第III段階-ガバナンスレビュー |
The Government reviews and publishes the RFI responses submitted during Phase II. The Government may select respondents to engage with the RFI project team to elaborate on their response to the RFI. | 政府は、第Ⅱ段階で提出されたRFI回答を審査し、公表する。政府は、RFIプロジェクトチームと連携し、RFIへの対応について詳しく説明する回答 者を選定する場合がある。 |
Participation, or lack thereof, in this RFI process has no bearing on a party's ability or option to choose to participate in or receive an award for any future solicitation or procurement resulting from this or any other activity. | 本RFIプロセスへの参加または不参加は、本活動またはその他の活動から生じる将来の募集ま たは調達に参加すること、または賞を受けることを選択する当事者の能力または選択肢に影響を与えない。 |
Questions for Respondents | 対応者への質問 |
We are seeking insights and recommendations as to how the Federal Government can lead, assist, or encourage other key stakeholders to advance progress in the potential areas of focus described below. | 我々は、連邦政府が以下に記載される潜在的な重点分野において前進するために、他の主要な利害関係者 をどのように先導し、支援し、奨励することができるかについての洞察と提言を求めている。 |
Please consider providing input on these areas by addressing the questions below: | 以下の質問に答えることで、これらの分野について意見を提供することを検討されたい: |
Which of the potential areas and sub-areas of focus described below should be prioritized for any potential action? Please describe specific policy solutions and estimated budget and timeline required for implementation. | 以下の重点分野のうち、どの分野に優先的に取り組むべきか。具体的な政策解決策と、実施に必要な予算と時期の見積もりを説明してほしい。 |
What areas of focus are the most time-sensitive or should be developed first? | どの重点分野が最も時間的制約が大きいか、あるいは最初に開発されるべきか。 |
What technical, policy or economic challenges must the Government consider when implementing these solutions? | 政府がこれらの解決策を実施する際に考慮すべき技術的、政策的、経済的課題は何か。 |
Which of the potential areas and sub-areas of focus described below should be applied to other domains? How might your policy solutions differ? | 以下に述べる潜在的な重点分野や小分野のうち、他の領域にも適用すべきものはどれか。あなたの政策解決策はどのように異なる可能性があるか? |
Respondents are not required to respond to every topic and are encouraged to focus on specific areas that meet their specialized expertise. | 回答者は、すべてのトピックに回答する必要はなく、各自の専門性を満たす特定の分野に重点を置くことが奨励される。 |
Potential Areas of Focus | 想定される重点分野 |
• Area: Secure Open-Source Software Foundations | • 分野:セキュアなオープンソースソフトウェアの基盤 |
○ Sub-area: Fostering the adoption of memory safe programming languages | ○ サブ分野:メモリ安全プログラミング言語の採用の促進 |
・Supporting rewrites of critical open-source software components in memory safe languages | ・重要なオープンソースソフトウェアコンポーネントのメモリ安全言語への書き換えを支援する。 |
・Addressing software, hardware, and database interdependencies when refactoring open-source software to memory safe languages | ・オープンソースソフトウェアをメモリ安全な言語にリファクタリングする際に、ソフトウェア、ハードウェ ア、データベースの相互依存性に対処する。 |
・Developing tools to automate and accelerate the refactoring of open-source software components to memory safe languages, including code verification techniques | ・オープンソースソフトウェアコンポーネントのメモリ安全言語へのリファクタリングを自動化・高速化するツールの開発(コード検証技術を含む |
・Other solutions to support this sub-area | ・このサブ分野をサポートするその他の解決策 |
○ Sub-Area: Reducing entire classes of vulnerabilities at scale | ○ サブ分野:脆弱性のクラス全体の大規模な削減 |
・Increasing secure by default configurations for open-source software development | ・オープンソースソフトウェア開発におけるセキュアなデフォルト設定の増加 |
・Fostering open-source software development best practices, including but not limited to input validation practices | ・オープンソースソフトウェア開発のベストプラクティスを育成する。 |
・Identifying methods to incentivize scalable monitoring and verification efforts of open-source software by voluntary communities and/or public-private partnerships | ・自主的なコミュニティ及び/又は官民パートナーシップによる、オープンソースソフトウェアのスケーラブルな監視及び検証の取り組みを奨励する方法を識別する。 |
・Other solutions to support this sub-area | ・このサブ分野を支援するその他の解決策 |
○ Sub-Area: Strengthening the software supply chain | ○ サブ分野:ソフトウェアのサプライチェーンの強化 |
・Designing tools to enable secure, privacy-preserving security attestations from software vendors, including their suppliers and open-source software maintainers | ・サプライヤやオープンソースソフトウェアのメンテナを含むソフトウエアベンダーによる、安全でプライバシーを保持したセキュリ ティ証明を可能にするツールを設計する。 |
・Detection and mitigation of vulnerable and malicious software development operations and behaviors | ・脆弱性及び悪意のあるソフトウ ェアの開発作業や挙動を検知 し、低減する |
・Incorporating automated tracking and updates of complex code dependencies | ・複雑なコード依存関係の自動追跡と更新を組み込む |
・Incorporating zero trust architecture into the open-source software ecosystem | ・ゼロ・トラスト・アーキテクチャをオープンソースソフトウェアのエコシステムに組み込む。 |
・Other solutions to support this sub-area | ・このサブ分野をサポートするその他の解決策 |
○ Sub-Area: Developer education | ○ サブ分野:開発者教育 |
・Integrating security and open-source software education into computer science and software development curricula | ・セキュリティとオープンソースソフトウェアに関する教育をコンピュータサイエンスとソフトウエア開発のカリキュラムに組み込む |
・Training software developers on security best practices | ・セキュリティのベストプラクティスについてソフト ウェア開発者を訓練する |
・Training software developers on memory safe programming languages | ・ソフトウエア開発者にメモリ安全 プログラミング言語を教育する |
・Other solutions to support this sub-area | ・このサブ分野をサポートするその他の解決策 |
• Area: Sustaining Open-Source Software Communities and Governance | • 分野: オープンソースソフトウェアコミュニティとガバナンスの維持 |
○ Sustaining the open-source software ecosystem (including developer communities, non-profit investors, and academia) to ensure that critical open-source software components have robust maintenance plans and governance structures | ○ オープンソースソフトウェアのエコシステム(開発者コミュニティ、非営利投資家、アカデミアを含む)を維持し、重要なオープンソースソフトウェアコンポーネントの強固な保守計画とガバナンス体制を確保する。 |
○ Other solutions to support this sub-area | ○ このサブ分野をサポートするその他の解決策 |
• Area: Behavioral and Economic Incentives to Secure the Open-Source Software cosystem | • 分野:オープンソースソフトウェアのコシステムを保護するための行動的・経済的インセンティブ |
○ Frameworks and models for software developer compensation that incentivize secure software development practices | ○ 安全なソフトウェア開発の実践を奨励する、ソフトウェア開発者報酬のフレームワークとモデル |
○ Applications of cybersecurity insurance and appropriately-tailored software liability as mechanisms to incentivize secure software development and operational environment practices | ○ 安全なソフトウェア開発と運用環境の実践を動機付ける仕組みとして、サイバーセキュリティ保険と適切に調整されたソフトウ ェア賠償責任を適用する。 |
○ Other solutions to support this sub-area | ○ このサブ分野を支援するその他の解決策 |
• Area: R&D/Innovation | • 分野:研究開発/イノベーション |
○ Application of artificial intelligence and machine learning techniques to enhance and accelerate cybersecurity best practices with respect to secure software development | ○ 安全なソフトウエア開発に関するサイバーセキュリティのベストプラクティスを強化・加速するための人工知能と機械学習技 術の応用 |
○ Other solutions to support this sub-area | ○ このサブ分野を支援するその他の解決策 |
• Area: International Collaboration | • 分野:国際協力 |
○ Methods for identifying and harmonizing shared international priorities and dependencies | ○ 国際的に共有される優先事項や依存関係を識別し、調和させるための手法 |
○ Structures for intergovernmental collaboration and collaboration with various open-source software communities | ○ 政府間連携やオープンソースソフトウェアの各種コミュニティとの連携のための仕組み |
○ Other solutions to support this sub-area | ○ このサブ分野を支援するその他の解決策 |
This RFI seeks public input as the Federal Government develops its strategy and action plan to strengthen the open-source software ecosystem. We hope that potential respondents will view this RFI as a civic opportunity to help shape the government's thinking about open-source software security. | このRFIは、連邦政府がオープンソースソフトウェアのエコシステムを強化するための戦略と行動計画を策定するにあたり、一般からの意見を求めるものである。回答者候補には、このRFIを、オープンソースソフトウェアのセキュリティに関する政府の考え方を形成する一助となる市民的な機会として捉えていただきたい。 |
Comments must be received no later than 5:00 p.m. ET October 9, 2023. | 意見は、2023年10月9日午後5時(米国東部時間)までに提出されなければならない。 |
By October 9, 2023, all interested respondents should submit a written RFI response, in MS Word or PDF format, with their answers to questions on which they have expertise and insights for the Government through www.regulations.gov. | 2023年10月9日までに、関心のあるすべての回答者は、www.regulations.gov、専門知識と洞察力を政府に提供する質問に対する回答を、MS WordまたはPDF形式でRFI対応文書として提出すること。 |
The written RFI response should address ONLY the topics for which the respondent has expertise. Inputs that meet most of the following criteria will be considered most valuable: | RFI回答書は、回答者が専門知識を有するトピックのみを扱うものとする。以下の基準のほとんどを満たすものは、最も価値があるとみなされる: |
Easy for executives to review and understand: Content that is modularly organized and presented in such a fashion that it can be readily lifted (by topic area) and shared with relevant executive stakeholders in an easily consumable format. | 経営幹部が確認し理解しやすい: モジュール化されたコンテンツは、(トピックエリアごとに)容易に持ち出すことができ、消費しやすいフォーマットで関連する経営幹部の利害関係者と共有できるように提示される。 |
• Expert: The Government, through this effort, is seeking insights to understand current best practices and approaches applicable to the above topics, as well as new and emerging solutions. The written RFI response should address ONLY the topics for which the respondent has knowledge or expertise. | • 専門家:ガバナンス政府は,この取り組みを通じて,上記のトピックに適用可能な現在のベストプラクティスやアプローチ,また新しいソリューションや新たなソリューションを理解するための見識を求めている。RFI の回答書は,回答者が知識または専門性を有するトピックのみを取り上げること。 |
• Clearly worded/not vague: Clear, descriptive, and concise language is appreciated. Please avoid generalities and vague statements. | • 明確な表現/曖昧でないこと: 明確、説明的、簡潔な表現が望まれる。一般論や曖昧な表現は避けること。 |
• Actionable: Please provide enough high-level detail so that we can understand how to apply the information you provide. Wherever possible, please provide credible data and specific examples to support your views. If you cite academic or other studies, they should be publicly available to be considered. | • 実行可能であること: 提供された情報をどのように適用するかを理解できるよう、十分なレベルの詳細を提供すること。可能な限り、信頼できるデータと具体的な例を示し、あなたの意見を支持すること。学術的な研究などを引用する場合は、公開されているものであることが望ましい。 |
• Cost effective & impactful: Respondents should consider whether their suggestions have a clear return on investment that can be articulated to secure funding and support. | • 費用対効果が高く、インパクトがある: 対応者は、その提案が、資金や支援を確保するために明示できる明確な投資対効果を持つかどうかを検討すべきである。 |
• “Gordian Knot” solutions and ideas: Occasionally, challenges that seem to be intractable and overwhelmingly complex can be resolved with a change in perspective that unlocks hidden opportunities and aligns stakeholder interests. We welcome these ideas as well. | • ゴルディアスの結び目」の解決策とアイデア: 時には、難解で圧倒的に複雑に見える課題も、視点を変えることで隠れた機会を引き出し、利害関係者の利害を一致させることで解決できることがある。このようなアイデアも歓迎する。 |
• All submissions are public records and may be published on www.regulations.gov. Do NOT submit sensitive, confidential, or personally identifiable information. | • 提出されたものはすべて公文書となり、www.regulations.gov に掲載される可能性がある。 機微情報、機密情報、個人を特定できる情報は提出しないこと。 |
An additional appendix of no more than 5 pages long may also be included. This section should only include additional context about you or your organization. | 5ページ以内の附属書を添付することもできる。このセクションには、あなたまたはあなたの組織に関する追加情報のみを記載すること。 |
Privacy Act Statement | 個人情報保護法に関する声明 |
Submission of comments is voluntary. The information will be used to determine focus and priority areas for open-source software security and memory-safety. Please note that all comments received in response to this notice will be posted in their entirety to http://www.regulations.gov, including any personal and business confidential information provided. Do not include any information you would not like to be made publicly available. | コメントの提出は任意である。この情報は、オープンソースソフトウェアのセキュリティとメモリ安全性についての焦点と優先分野を決定するために使用される。この通知に対して寄せられたコメントはすべて、提供された個人情報および企業機密情報を含め、その全体が http://www.regulations.gov に掲載されることに留意されたい。公開されたくない情報は含めないこと。 |
Kemba E. Walden, | ケンバ・E・ウォルデン |
Acting National Cyber Director. | 国家サイバー長官代理 |
[FR Doc. 2023–17239 Filed 8–9–23; 8:45 am] | [FR Doc. 2023-17239 Filed 8-9-23; 8:45 am]. |
BILLING CODE 3340–D3–P | 請求コード 3340-D3-P |
Footnotes | 脚注 |
(1) “2023 Open-Source Security and Risk Analysis Report,” Synopsys, February 22, 2023, ( [web] ). | (1) 「2023 年オープンソース・セキュリティ・リスク分析レポート」、シノプシス、2023 年 2 月 22 日、( [web] ). |
CISAのブログ...
・2023.08.10 We Want Your Input to Help Secure Open Source Software
We Want Your Input to Help Secure Open Source Software | オープンソースソフトウェアの安全性を確保するためにあなたの意見を聞きたい |
By: Eric Goldstein, Executive Assistant Director of Cybersecurity at the Cybersecurity and Infrastructure Security Agency (CISA), and Camille Stewart Gloster, Deputy National Cyber Director for Technology and Ecosystem Security at the White House Office of the National Cyber Director (ONCD) | 発表者:サイバーセキュリティ・インフラ保障局(CISA)サイバーセキリティ担当エグゼクティブ・アシスタント・ディレクター エリック・ゴールドスタイン、ホワイトハウス国家サイバー局長室(ONCD)技術・エコシステムセキュリティ担当副国家サイバー局長 カミーユ・スチュワート・グロスター両氏 |
Today, the Cybersecurity and Infrastructure Security Agency (CISA), the Office of the National Cyber Director (ONCD), the National Science Foundation (NSF), the Defense Advanced Research Projects Agency (DARPA), and the Office of Management and Budget (OMB) are announcing a request for information (RFI) to receive your input on where the government should focus areas for prioritization to secure open source software. This represents a continuation of the National Cybersecurity Strategy’s focus on open source software security and CISA’s related Secure by Design work. If you are a member of the open source software community or work to secure open source software, we want to hear from you. | 本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家サイバー局長室(ONCD)、全米科学財団(NSF)、国防高等研究計画局(DARPA)、および行政管理予算局(OMB)は、オープンソースソフトウェアの安全性を確保するために政府が優先的に取り組むべき分野について、皆様からご意見をいただくための情報提供要請(RFI)を発表する。これは、国家サイバーセキュリティ戦略がオープンソースソフトウェアのセキュリティに焦点を当てたことと、CISAが関連するSecure by Designの作業を継続することを意味する。オープンソースソフトウェアコミュニティのメンバー、またはオープンソースソフトウェアのセキュリティ確保に取り組んでいる方は、ぜひご連絡いただきたい。 |
Open source software is the foundation for much of the technology that serves as a backbone of our world. CISA, ONCD, and our federal partners are on a mission to ensure that open source software is as safe, secure, and sustainable as it is open. Open source refers to software that is made freely available for anyone to access, modify, utilize and redistribute. Providing the foundation for 96% of the world’s software, open source software is a public good enabling a software ecosystem that includes the open source community, federal government, critical infrastructure, private industry and civil society to innovate, collaborate and develop at speed. | オープンソースソフトウェアは、我々の世界のバックボーンとして機能する多くの技術の基盤である。CISA、ONCD、そして連邦政府のパートナーは、オープンソース・ソフトウェアがオープンであるのと同様に安全で、セキュアで、持続可能であることを保証する使命を担っている。オープンソースとは、誰でも自由にアクセス、変更、利用、再配布できるようにしたソフトウェアのことである。世界のソフトウェアの96%の基礎を提供するオープンソースソフトウェアは、オープンソースコミュニティ、連邦政府、重要インフラ、民間産業、市民社会を含むソフトウェア・エコシステムが革新、協力、そしてスピードある開発を行うことを可能にする公共財である。 |
We can only fully realize the benefits of open source software when everyone – including the federal government – plays their part in supporting the ecosystem. The federal government is one of the largest users of open source software in the world, and we must do our part to help secure it. This requires widescale efforts to help uplift the level of security in the open source ecosystem . | 連邦政府を含むすべての人々が、エコシステムのサポートにそれぞれの役割を果たすことで、初めてオープンソースソフトウェアの恩恵を十分に享受することができる。 連邦政府は、オープンソースソフトウェアの世界最大のユーザーのひとつであり、その安全性を確保するために、われわれもその役割を果たさなければならない。そのためには、オープンソースのエコシステムのセキュリティレベルを向上させるための広範な取り組みが必要である。 |
Such instances of once-in-a-generation government investment are not unprecedented. In 1956, President Eisenhower signed the Federal Aid Highway Act of 1956 into law, authorizing $25 billion to build 41,000 miles of highways over a decade. In the decades following the legislation, the investment yielded profound dividends for the United States: one report found that every $1 spent returned more than $6 in economic productivity. Further, the highway system has led to dramatic safety improvements, with the fatality rate of the highway system significantly lower than that of the average road, and nearly one-tenth of the national fatality rate in 1956. | このような一世代に一度の政府投資は、前例がないわけではない。1956年、アイゼンハワー大統領は、10年間で41,000マイルの高速道路を建設するために250億ドルを承認する1956年連邦補助道路法に署名した。ある報告書によれば、1ドルの支出につき6ドル以上の経済生産性がもたらされたという。さらに、ハイウェイ・システムは劇的な安全性改善をもたらし、ハイウェイ・システムの死亡率は平均的な道路の死亡率よりも大幅に低く、1956年の国の死亡率のほぼ10分の1であった。 |
While the scale of investment in the highway system may be different than what’s needed with our digital infrastructure, the first step is understanding what kinds of investment need to be made. What might a potential digital public works program for open source software infrastructure look like? Perhaps it would include rewriting critical open-source components in memory-safe languages, ensuring that security is a core part of all software development education, or helping build sustainable governance models in open source communities. We want to hear from you around what areas should be prioritized for fostering greater open source software security. | 高速道路システムに対する投資の規模は、デジタル・インフラに必要なものとは異なるかもしれないが、まずはどのような投資が必要かを理解することから始まる。オープンソースソフトウェア・インフラストラクチャのためのデジタル公共事業プログラムとはどのようなものだろうか?おそらく、重要なオープンソース・コンポーネントをメモリ・セーフな言語で書き直すことや、すべてのソフトウェア開発教育の中核にセキュリティを据えること、あるいはオープンソースコミュニティにおける持続可能なガバナンス・モデルの構築を支援することなどが含まれるだろう。オープンソースソフトウェアのセキュリティを強化するために、どのような分野に優先的に取り組むべきか、皆さんのご意見をお聞かせいただきたい。 |
Securing open source software is critical for achieving a software ecosystem that exemplifies Secure by Design principles. We envision an ecosystem in which creating secure open source code and regularly assessing the security of existing open source code is the norm rather than an added burden. As part of this, software manufacturers that consume open source software should contribute back to the security of the open source software they depend upon. | オープンソースソフトウェアのセキュリティ確保は、セキュア・バイ・デザインの原則を模範とするソフトウェア・エコシステムを実現するために不可欠である。私たちは、安全なオープンソース・コードを作成し、既存のオープンソース・コードのセキュリティを定期的に評価することが、負担を増やすのではなく、当たり前のエコシステムを構想している。その一環として、オープンソースソフトウェアを利用するソフトウェアメーカーは、依存するオープンソースソフトウェアのセキュリティに貢献すべきである。 |
CISA and ONCD will continue our work to secure the open-source software ecosystem. ONCD has established the Open Source Software Security Initiative (OS3I) interagency working group to convene key agencies involved in open source security. In the coming months, CISA will publish our open source security strategy, outlining how, in line with the National Cybersecurity Strategy, CISA is working to both secure the federal government’s usage of open source software and foster greater ecosystem security. | CISAとONCDは、オープンソースソフトウェアのエコシステムの安全性を確保するための活動を継続する。ONCDは、オープンソースソフトウェアセキュリティに関わる主要機関を招集するため、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)省庁間ワーキンググループを設立した。今後数ヶ月のうちに、CISAはオープンソースセキュリティ戦略を発表する予定であり、国家サイバーセキュリティ戦略に沿って、CISAがどのように連邦政府によるオープンソースソフトウェアの利用を安全なものとし、より大きなエコシステムのセキュリティを促進するために取り組んでいるかを概説する。 |
We look forward to receiving your input to help shape government’s efforts in open-source software security and resilience. The RFI can be found here, and responses are due by 5:00 p.m. EDT on October 9th, 2023. | オープンソースソフトウェアのセキュリティとレジリエンスにおける政府の取り組みを形成する一助となるよう、皆様のご意見をお待ちしている。 RFIはここにあり、回答期限は日本時間2023年10月9日午後5時までとなっている。 |
« 米国 特定の国家安全保障技術および製品への米国投資に関する大統領令 (2023.08.09) | Main | 米国 K-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07) »
Comments