GoogleとIBMは、オープンソースのセキュリティの懸念についてホワイトハウスが開催した会合に参加後、重要なオープンソースプロジェクトを特定するために、IT組織が協力するように呼びかけた。
ホワイトハウスのサイバーセキュリティ担当リーダーAnne Neuberger氏が主導したこの会合には、Apache、Google、Apple、Amazon、IBM、Microsoft、Meta(旧Facebook)、Linux、Oracleといった組織や、米国防省や米サイバーセキュリティ・インフラセキュリティ庁(CISA)などの政府機関から、関係者が参加した。今回の会合は、2021年12月に発見されて以来、懸念されている「Apache Log4j」の脆弱性にさまざまな組織が対応を続けている中で行われた。
Googleの国際問題担当プレジデントを務めるKent Walker氏は、世界におけるデジタルインフラの重要性を考慮し、物理的インフラと同様に、デジタルインフラを考え始める時期に来ていると述べた。
「オープンソースソフトウェアは、オンラインの世界にとって結合組織のようなもので、道路や橋と同じように注意を払い、資金を充てる必要がある」と、Walker氏は説明した。
同氏はブログ記事で、官民が連携して、重要なオープンソースプロジェクトを特定する必要があり、プロジェクトの重大性は、その影響と重要性に基づいて決定すべきだと述べた。そうしたプロジェクトのリスト作成は、組織が最も必要不可欠なセキュリティ評価と改善に向けてリソースを優先順位付けしたり、割り当てたりするのに役立つだろう。
IBMのエンタープライズセキュリティ担当エグゼクティブのJamie Thomas氏も、Walker氏のコメントに同意した。ホワイトハウスでの会合により「オープンソースのセキュリティ対策を改善するために、政府と業界が協力できることが明らかになった」と述べている。
「まず、オープンで賢明なセキュリティ標準の広範な採用、最も厳格なセキュリティ要件を満たす必要がある重要なオープンソース資産の特定、オープンソースセキュリティに関する技能訓練と教育の拡大に向けた協業的な国家的努力の推進、そしてこの分野で重要な進歩を遂げた開発者を報いることから始めたらよいだろう」とThomas氏は語った。
またWalker氏は、Googleが1億ドルを投じたOpenSSFのような組織は、すでにこうした標準策定に取り組んでいると述べた。
さらに同氏によると、Googleはオープンソースの保守サービスを提供するマーケットプレイスのような組織を立ち上げることを提案したという。企業のボランティアを、サポートを最も必要としている重要プロジェクトとマッチングする場となる。また、同社はこの取り組みに、「リソースを提供する準備がある」とも述べている。
同氏はブログ記事で、重要なオープンソースコードのセキュリティ維持のために、公式なリソースの割り当てはなく、正式な要件や基準もほとんどないと指摘している。既知の脆弱性の修正など、セキュリティの保守や強化のための作業は、その大半が「場当たり的に、ボランティアベースで行われている」という。
「ソフトウェアコミュニティーはあまりにも長い間、オープンソースソフトウェアが一般的に安全だという安心感を得てきており、これは、その透明性や、『多数の目』が監視して問題の検出と解決に取り組んでいるという前提に基づいていた。しかし、一部のプロジェクトに多くの目が光っている一方、ほとんどもしくは全く目が行き届いていないプロジェクトもある」(同氏)
Apache Software Foundationのマーケティング担当バイスプレジデントJoe Brockmeier氏は、オープンソースのサプライチェーンに内在するセキュリティの問題を解決する「特効薬のような方法」は存在しないとし、「オープンソースソフトウェアを利用する企業と組織によるアップストリームにおける協業が今後必要になる」と述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。