情報セキュリティ標準化委がソフトウェア製品のオープンソースコードの安全評価を規範化へ
4月11日、全国情報セキュリティ標準化技術委員会は「情報セキュリティ技術 ソフトウェア製品のオープンソースコードセキュリティ評価弁法(意見募集稿)」(以下、「意見募集稿」という)を発行し、社会に向けて意見を求めており、意見のフィードバックは6月9日までとなっている。
「意見募集稿」では、ソフトウェア製品におけるオープンソースコードのセキュリティ評価目標、評価指標体系と評価方法を明確にしており、評価指標体系はオープンソースコードの出所、オープンソースコードの品質、オープンソースコードの知的財産権とオープンソースコードの管理能力をカバーしている。「意見募集稿」では、評価プロセスには主に評価の準備、プラン作成、現場での実施、分析評価の4段階が含まれることを指摘している。評価実施者はオープンソースコードのセキュリティ評価の作業を実施する際に、インタビュー、検査とテスト等の基本的な評価方法を総合的に採用して、評価を受ける機関から提供された評価資料が指標調査内容の要求を満たしているかどうかを確認しなければならない。「意見募集稿」ではまた、評価を受ける機関が所属業界と企業規模の実情に合わせて、評価体系と評価細則に基づいてソフトウェア製品に含まれるオープンソースコードの安全性を確認することにも言及している。
全国情報セキュリティ標準化技術委員会 より