コンテンツに移動
オープンソース

IT 業界の予測: オープンソースはキュレートされたものが主流に

2022年12月29日
https://storage.googleapis.com/gweb-cloudblog-publish/images/opensource_2022.max-2500x2500.jpg
Google Cloud Japan Team

※この投稿は米国時間 2022 年 12 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: この投稿は Google Cloud のエキスパートが IT 業界の今後を予測しているシリーズの一部です。今後数年間の IT 業界の変化について予測した内容の一覧をご覧ください。


予測: 2025 年までには、企業のデベロッパーの 5 人中 4 人がなんらかのキュレートされたオープンソースを利用する

オープンソースは広く利用されており、私たちの日常生活を支える公共インフラストラクチャとして、電力網や、水道、石油パイプラインまで、さまざまな事業に活用されています。あらゆるクラウドの基盤としてほぼ全世界的に利用されているほか、プロプライエタリ ソフトウェアでも幅広く採用されています。

現在、米国連邦政府によるリスクおよび認証管理プログラム(FedRAMP)や、バイデン政権が発令したサイバーセキュリティに関する大統領令など、コンプライアンスの規制が強まっています。こうした状況においては、キュレートされたオープンソースを利用することで、未来の原動力となるアプリケーションを実行するために必要なアカウンタビリティを一段階強化できます。

オープンソースをキュレートすることの狙いは、主要なオープンソース パッケージを積極的に検証し、ソフトウェア サプライ チェーンのセキュリティを向上させることにあります。「キュレーター」は、脆弱性を見つけるだけでなく、修正する役割も担っています。たとえば、古い依存関係を更新したり、新しい依存関係をトラッキングしたりします。その他にも、テストを自動化することで、セキュリティ対策の長期的な効率化に努めます。

キュレートされているオープンソースは、現在も多少は存在します。たとえば、サポート対象の Linux バージョンや、Apache Spark のような人気の高いオープンソース システムの有料版が付属しているオープンソース パッケージなどです。ただし、こうした一部の例を除き、私たちが頼りにしているほとんどのパッケージはキュレートされていないのが現状です。リスクの広まりを考えると、この現状を変えていく必要があります。

Google Cloud ではこの問題に対処するため、すでに独自のソリューションの開発に着手しており、その一環としてソフトウェア デリバリー シールドをリリースしました。これは、ソースからデプロイまでのソフトウェア サプライ チェーンを保護できるフルマネージド型のセキュリティ ソリューションで、Assured OSS(現在プレビュー版)というキュレートされたオープンソース サービスが含まれています。このサービスを使えば、500 種類以上の Java および Python のオープンソース パッケージを対象に、スキャン、分析、ファズテストを実施してセキュリティの脆弱性を特定し、必要に応じて更新したうえで、クラウド デベロッパーに提供することができます。

Assured OSS パッケージを利用することで、Google Cloud の各種 OSS(オープンソース ソフトウェア)と同じエンドツーエンドのセキュリティ対策と慣行を、お客様の組織にも適用できます。デベロッパーは、Google Cloud の各種プロダクトやサービスに組み込まれている、キュレート済みのオープンソース パッケージ一式を利用することが可能となります。

キュレートされたオープンソースや Assured OSS のご利用について詳しい情報をご希望の場合は、こちらのお問い合わせフォームにご記入ください。

Video Thumbnail

- インフラストラクチャ担当バイス プレジデント、Google Fellow Eric Brewer

投稿先