「セス・マイケル・ラーソン：オープンソース・セキュリティーの仕事は「特別」じゃない」

2025年のOpenSSF Community Day NA in Denver、コロラド州でキーノートスピーチが行われ、後日YouTubeビデオ録画が公開される予定です。このトークは、Alpha-OmegaがスポンサーとなったPython Software FoundationのSecurity-Developer-in-Residenceとして行われました。オープンソースは、プロジェクトに意味のある貢献をユーザーに許す素晴らしいものですが、セキュリティーは特別で、しばしば少数の選ばれた人々によって扱われます。特に小さなオープンソースプロジェクトのメンテナーは、セキュリティーの専門家ではありませんが、プロジェクトとユーザーの安全を確保するためにセキュリティーワークを処理することを強いられています。この孤立は、恐怖の文化を生み、メンテナーは他のプロジェクトがセキュリティー問題をどのように処理しているかを見ません。小さなプロジェクトは、ツールによって形づくられ、セキュリティーツールは問題を解決せずに仕事を生み出す非対称性を生みます。スピーカーは、新しいオープンソースセキュリティー貢献モデルの提案を行い、セキュリティーワークを信頼できる個人によって完了することを目指しています。このモデルは、メンテナーが唯一のセキュリティーワークを行うという仮定を打ち破り、特に小さなプロジェクトにとって成功することを目指しています。このモデルを成功させるためには、貢献者とプロジェクトの間に信頼関係を構築し、セキュリティーワークをメンテナーにのみ負わせることはできません。我々は、声を上げて経験を共有し、セキュリティーワークの孤立を克服するためのよりポジティブで健康的なセキュリティーカルチャーを構築することができます。