オープンソースを形作る人々への投資と共に未来を守る
GitHubはAnthropic、AWS、Google、OpenAIと共に1,250万ドルをLinux FoundationのAlpha-Omegaイニシアチブに拠出し、AI活用によるOSSセキュリティ強化と維持者支援を推進する。
キーポイント
大手テック企業による1,250万ドルの共同拠出
GitHub、Anthropic、AWS、Google、OpenAIがLinux FoundationのAlpha-Omegaイニシアチブを支援し、オープンソースセキュリティ向上を目指す。
維持者向け無料ツールの大幅拡充
28万人以上のGitHub維持者にCopilot ProやActions、セキュリティスキャン機能を無償提供し、作業負荷軽減と品質向上を図る。
550万ドルのSecure Open Source Fund設立
Azureクレジットやトレーニング資金を追加し、DatadogやOWASPなど新規パートナーと連携して実務的なセキュリティ対策を強化する。
AIを活用したセキュリティワークフローの統合
新興AIセキュリティ機能を既存プロジェクトのワークフローに組み込み、維持者が容易に活用できるようにする。
GitHubのセキュリティ投資とPVR機能による報告負担の軽減
GitHub Security LabはPrivate Vulnerability Reporting(PVR)などの機能に投資し、低品質なレポートの負担を軽減することで、増加するセキュリティ報告をメンテナーが効率的に管理できるよう支援している。
Secure Open Source Fundの実績と教育・リソース連携の効果
資金とリソースを具体的なセキュリティ改善成果に紐付け、実践的な教育を提供することで、多数のプロジェクトでCVE発行やシークレット漏洩防止などの具体的な成果を上げている。
AIをメンテナーの負担軽減ツールとして位置づけ、ワークフローに統合する方針
AIは脆弱性発見の速度を向上させる一方、メンテナーの燃え尽きリスクも高めるため、GitHubはAIをトリアージや修正支援の「フォースマルチプライヤー」として設計し、既存のワークフローに自然に組み込むことで負担を軽減する方針を示している。
影響分析・編集コメントを表示
影響分析
この発表は、AI技術の急速な普及に伴うオープンソースセキュリティの課題に対し、主要プラットフォームと企業が資金・ツール面で協調する新たなモデルを示した。維持者のバーンアウト解消とセキュリティ水準の向上に寄与するが、分散したOSSプロジェクトへの実際の浸透度と運用コストが課題となる。業界全体として「セキュリティを公共財」と位置づける動きが加速する見込みだ。
編集コメント
GitHub公式ブログの発表であるためPR色彩は強いものの、OSS維持者の実務負担軽減とセキュリティ基盤強化という喫緊の課題に対し、実際にツール提供と資金拠出を伴う具体策が提示されている点は評価できる。今後のAlpha-Omegaイニシアチブの運用実績と、分散型プロジェクトへの浸透状況に注目したい。
オープンソースは、常にコミュニティについてのものです。
深夜にプルリクエストをレビューするメンテナーのこと。見知らぬ人からのセキュリティレポートに対応するボランティアのこと。そして、世界のソフトウェアを静かに支え続けるコミュニティのことです。
コミットの背景にある現実は、メンテナーが手一杯になるということです。プルリクエストやコメントへの対応に加え、マージやリリースも期待されるため、負担は瞬く間に積み上がります。深夜の作業はバーンアウトへとつながり、個人プロジェクトが気づかないうちに一夜で重要なインフラストラクチャとなり、「ありがとう」の言葉だけでは生活は成り立ちません。さらに、AIはオープンソースコミュニティがエコシステムを守る方法を変える加速力となっています。常時稼働が求められるセキュリティ対策には、常に十分な知識と専門性があるわけではない上に、より多くの時間とエネルギーが必要です。
GitHubでは、オープンソースの支援とは、コードをホストする以上の意味があると信じています。それは、オープンソースを維持する人々への投資、成功に必要なツールの提供、そしてAI時代にエコシステムが急速に進化する中で彼らと共に歩むことを意味します。オープンソースメンテナーは、より良いサポートとセキュリティに値する存在であり、私たちはその声に耳を傾け、投資を続けます。
共に、オープンソースセキュリティを強化する
本日、私たちはAnthropic、Amazon Web Services (AWS)、Google、OpenAIと共に、オープンソースセキュリティを推進するLinux FoundationのAlpha-Omegaイニシアチブを支援するため、総額1250万ドルの共同出資に参加します。この協業は、メンテナーが新たなAIセキュリティ機能を利用し、既存のプロジェクトワークフローに統合できるように支援するとともに、当社のOSSセキュリティプログラムをさらに前進させ、重要なオープンソースソフトウェアプロジェクトのセキュリティを強化することを目的としています。
この取り組みは、オープンソースとソフトウェアセキュリティの管理者としてのGitHubの長年の活動の上に成り立っています。真のインパクトは、投資と実用的なツール、教育、メンテナーを支援するために設計された長期的なサポートを組み合わせることによって生まれます。
現在、GitHub上の数億に及ぶ公開リポジトリにおいて、28万人以上のメンテナーが、コアGitHubプラットフォームサービス、GitHub Copilot Pro、GitHub Actions、およびコードスキャンとAutofix、シークレットスキャン、プッシュ保護、依存関係アラートなどのセキュリティ機能への無料アクセス資格を有しています。GitHub Security Labは、オープンソースコミュニティと協力して、最も一般的な脅威に対する大規模な教育と保護を行い、エコシステム全体がより迅速に対応できるよう支援するセキュリティアドバイザリを公開しています。
コアプラットフォームとGitHub Copilotに対する最近および継続中のサポートに加え、以下の発表を通じて、メンテナーがオープンソースプロジェクトを保護することを支援するという当社のコミットメントを改めて表明します。
GitHub Secure Open Source Fundは、トレーニングと専門知識の提供、成果改善のためのコミュニティ、そしてDatadog、Open WebUI、Atlantic Council、OWASPを含む新たなパートナーの獲得に向け、550万ドル相当の追加Azureクレジットと資金を投入します。
GitHub Security Labは、GitHub上のセキュリティアドバイザリ体験とPrivate Vulnerability Reporting (PVR)機能に投資し、低品質な報告の負担を軽減することで、メンテナーが増加するセキュリティレポートの量に対処できるようにします。
GitHub Secure Open Source Fundのようなプログラムを通じて、私たちは学びました。メンテナーへの資金やリソース提供を、セキュリティ改善といった具体的な成果と結びつけた時に、最も効果的なセキュリティ成果が得られるのです。38か国、200人以上のメンテナーによる138のプロジェクトを支援した結果、191の新たなCVEが発行され、250以上のシークレットの漏洩が防止され、600以上の漏洩したシークレットが検出・解決されました。これにより、支援済みプロジェクトからの月間数十億ダウンロードに影響を与えています。また、教育と専門知識を伴う実践的なコーディング支援が、自己申告による学習とアクションを促進することも明らかになりました。
結果として、メンテナーが圧倒されるのではなくエンパワーされ、集中して学ぶ時間と余地を与えられ、彼らのワークフローに自然に溶け込むツールへのアクセスを提供された時、下流のすべての利用者のセキュリティが向上します。これにより、コミュニティを強化するフライホイールが生まれるのです。これらの教訓は、私たちが次に行うすべてのことを形作っています。
この活動の中核は、AIが脆弱性の発見方法と悪用方法の両方を根本的に変えつつある今、メンテナーが世界のソフトウェアサプライチェーンを支えるプロジェクトを防御・保護するのを支援することにあります。
メンテナーのためにAIを働かせる
AIは、脆弱性発見の速度と規模を劇的に増大させました。これは防御側にも攻撃側にも当てはまります。今、メンテナーはこれまで以上にソフトウェアセキュリティの最前線に立っています。彼らはしばしば、シグナル対ノイズ比の低い、自動化されたプルリクエストやセキュリティレポートの急増に直面します。その結果、バーンアウトが増加しています。
Log4jのメンテナーであるChristian Grobmeierが述べたように、「我々のAIは、攻撃側のAIよりも優れていなければなりません」。私たちも同感です。だからこそ、私たちの焦点は単により多くの問題を見つけることだけではありません。オープンソースを維持する喜びや持続可能性を損なうことなく、メンテナーが問題を効果的にトリアージし、理解し、修正するのを支援することにあります。例えば、私たちが最近オープンソース化したAIを活用したセキュリティ研究フレームワークは、セキュリティチームだけでなく、メンテナーをエンパワーするためにも使われるべきだという信念に基づくものです。
今後を見据え、GitHubはプルリクエストコントロールのようなツールへの投資を続けるとともに、AIが問題のトリアージ、プルリクエストレビュー、セキュリティ脆弱性の特定と修復などにおいて、メンテナーの力を増幅する存在となることを確保します。AIは新たな負担の源であってはなりません。影響力のあるオープンソースプロジェクトのメンテナーは既にCopilot Proを利用でき、これにはAIを活用したコードレビュー、エージェント的セキュリティ修復ワークフロー、メンテナーがリスクをより迅速に発見・修復するために設計された幅広い主要モデルへのアクセスが含まれています。
AIはメンテナーの負担を増やすのではなく、軽減するべきです。私たちの目標はシンプルです。
- メンテナーが既に作業している場所、つまりGitHub上で彼らに寄り添う。
- ノイズではなく、実際の問題の優先順位付けを支援する。
- 発見だけでなく、修正を加速する。
- 安全なデフォルト設定と健全なワークフローをサポートする。
- コミュニティと共にこれを磨き続ける。
オープンソースは共有された責任です
単一の企業やグループだけで、オープンソースを守ることはできません。私たち全員が依存するソフトウェアはグローバルコミュニティによって構築されており、それを保護するには、エコシステムと世界経済全体における協力が必要です。
メンテナーやAlpha-Omegaのようなパートナーと協力することで、私たちは努力を分散させずに影響力を拡大することを目指しています。GitHubのプラットフォーム、ツール、プログラムを、共有されたコミュニティガバナンスと信頼、そしてメンテナーへの最新モデルとAIを活用したコーディングツールの提供と組み合わせることで、これを実現できます。
最も重要なのは、私たちがプロジェクトだけでなく、人々への投資にもコミットしていることです。オープンソースは、メンテナーがサポートされ、尊重され、最高の仕事ができる環境を与えられた時に、真に繁栄するからです。私たちと共に未来を築いてくださるすべてのメンテナーの皆さんに感謝します。
Maintainer Hubを試し、利用可能なツールを有効化し、GitHub Secure OSS Fundへの応募をご検討ください。第4回募集は4月下旬に開始され、採択プロジェクトはそれぞれ1万ドル、Copilot Pro、10万ドル相当のAzureクレジット、3週間のセキュリティ教育、専用コミュニティへのアクセスを受け取れます。いつものように、皆様からのフィードバックが、私たちが次に構築するものの形を決めるのに役立ちます。
この投稿「オープンソースを支える人々への投資で、未来のセキュリティを守る」は、The GitHub Blogに最初に掲載されました。
原文を表示
Open source has always been about community.
It’s about maintainers who review pull requests late at night. Volunteers who respond to security reports from strangers. And communities that quietly power the world’s software.
The reality behind the commits is that maintainers get stretched thin. The effort of responding to pull requests and comments, while also being expected to merge and ship, adds up quickly. Late nights turn into burnout, one-person projects become critical infrastructure overnight without even realizing it, and “thank you” doesn’t pay the bills. Plus, AI is an accelerating force that’s changing how the open source community secures the ecosystem. The requirements of always-on security take more time and energy in addition to not always having the knowledge and expertise.
At GitHub, we believe supporting open source means more than hosting code. It means investing in the people who maintain it, giving them the tools they need to succeed, and standing with them as the ecosystem evolves rapidly in the AI era. Open source maintainers deserve better support and security, and we’re listening and investing.
Strengthening open source security, together
Today, we are joining Anthropic, Amazon Web Services (AWS), Google, and OpenAI with a combined commitment of $12.5 million to support the Linux Foundation’s Alpha-Omega initiative to advance open source security. This collaboration is aimed at helping maintainers make emerging AI security capabilities accessible and integrated into existing project workflows, and at further advancing our OSS security programs, to strengthen the security of critical open source software projects.
This effort builds on years of GitHub’s work as a steward of open source and software security. Real impact comes from pairing investment with practical tools, education, and long-term support designed to help maintainers.
Today, over 280,000 maintainers on GitHub across hundreds of millions of public repositories are eligible for free access to core GitHub platform services, GitHub Copilot Pro, GitHub Actions, and security capabilities, like code scanning and Autofix, secret scanning, push protection, and dependency alerts. Our GitHub Security Lab works with the open source community to educate and protect at scale against the most common threats, and it publishes security advisories that help the entire ecosystem respond faster.
On top of recent and ongoing support across our core platform and GitHub Copilot, we are also reaffirming our commitment to helping maintainers to secure their open source projects by announcing:
GitHub Secure Open Source Fund is adding an additional $5.5 million in Azure credits and funding to provide training and expertise; community to improve outcomes; and new partners, including Datadog, Open WebUI, Atlantic Council, and OWASP.
GitHub Security Lab is investing in the security advisory experience on GitHub and Private Vulnerability Reporting (PVR) features to reduce the burden of low-quality reports to help maintainers manage the increasing volume of security reports.
We have learned through programs like the GitHub Secure Open Source Fund that the most effective security outcomes happen when you link maintainer funding and resources to specific outcomes like improving security. After supporting 138 projects with over 200 maintainers across 38 countries, we have seen 191 new CVEs issued, 250+ new secrets prevented from leaking, and 600+ leaked secrets detected and resolved, impacting billions of monthly downloads from alumni projects. We also learned that providing hands-on coding with education and expertise, drives self-reported learning and action.
The outcome: when maintainers are empowered rather than overwhelmed, given time to learn with space to focus, and provided access to tools that fit naturally into their workflows, security improves for everyone downstream. This creates a community reinforcement flywheel. Those lessons shape everything we are doing next.
This work centers on helping maintainers defend and secure the projects that underpin the global software supply chain, at a time when AI is fundamentally changing both how vulnerabilities are discovered and how they are exploited.
Putting AI to work for maintainers
AI has dramatically increased the speed and scale of vulnerability discovery. That’s true for defenders and for attackers. Now, more than ever, maintainers sit on the front lines of software security. They often face a surge of automated pull requests and security reports with low signal-to-noise ratio. The result is increasing burnout.
As Christian Grobmeier, maintainer for Log4j, put it: “our AI has to be better than the attacking AI.” We agree. That is why our focus is not just on finding more issues. It is on helping maintainers triage, understand, and fix them effectively, without losing the joy or sustainability of maintaining open source. For example, our recent AI-powered security research framework was open sourced because we believe it should be used to empower maintainers and not only security teams.
Looking ahead, GitHub will continue investing in tools like pull request controls, while also ensuring AI is a force multiplier for maintainers from issue triage, pull request reviews, security vulnerability identification, and remediation, and more. It should not be another source of pressure. Maintainers of impactful open source projects already have access to Copilot Pro, which includes AI-assisted code review, agentic security remediation workflows, and access to a broad set of leading models all designed to help maintainers find and remediate risks faster.
AI should reduce maintainer burden, not increase it. Our goals are simple:
Meeting maintainers where they already work on GitHub
Helping prioritize actual issues over noise
Accelerating fixes, not just findings
Supporting secure defaults and healthy workflows
We will continue refining this alongside the community, informed by real world feedback and outcomes.
Open source is a shared responsibility
No single company or group can secure open source alone. The software we all depend on is built by a global community, and protecting it requires collaboration across ecosystems and global economies.
By working with maintainers and partners like Alpha-Omega, we aim to scale impact without fragmenting effort. By pairing GitHub’s platform, tools, and programs with shared community governance and trust, and providing maintainers with the latest models and AI-assisted coding tools, we can achieve this.
Most importantly, we are still committed to investing in people, not just projects. Because open source thrives when maintainers are supported, respected, and empowered to do their best work. We are grateful to every maintainer building the future with us.
Try out the Maintainer Hub, activate the tools available, and consider applying for GitHub Secure OSS Fund. Session 4 runs late April with each project receiving $10,000, Copilot Pro, $100K of Azure Credits, and 3 weeks of security education and a dedicated community. As always, your feedback helps shape what we build next. As always, your feedback helps shape what we build next. As always, your feedback helps shape what we build next.
The post Investing in the people shaping open source and securing the future together appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み