編集部からのお知らせ
新着特集PDF「IOWN構想のNTT」
おすすめ記事まとめ「ランサムウェア」
海外コメンタリー

OSSサプライチェーンのセキュリティ向上へ--OpenSSFの「Alpha-Omega」プロジェクト

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子

2022-02-21 06:30

 「Alpha-Omega Project」とは何だろうか。その目的は、「オープンソースプロジェクトのメンテナーらとの協力の下、オープンソースコードに潜んでおり、まだ発見されていない新たな脆弱性を組織的に探す出し」、それらを修正することで、「グローバルなオープンソースソフトウェアのサプライチェーンのセキュリティを向上させる」ことだ。これは、オープンソースのセキュリティを向上させる上で必要不可欠なものとなる。

 The Linux FoundationのパートナーグループであるOpen Source Security Foundation(OpenSSF)とGoogle、Microsoftは、セキュリティの専門家らと連携するとともに、自動化されたセキュリティテストを用いてオープンソースのセキュリティを向上させようとしている。また、MicrosoftとGoogleは同プロジェクトのために500万ドル(約5億8000万円)を拠出する。

 ソフトウェアサプライチェーンのセキュリティは必要不可欠なものとなっている。SolarWinds製品のサプライチェーンに対する攻撃や、「Apache Log4j」の脆弱性、開発者自らの手によるnpmパッケージへの無限ループの追加など、大きなセキュリティ事件が次から次へと発生しているが、これらすべてはソフトウェアサプライチェーンの脆弱性という問題に帰着すると言える。

 ハッカーや、国家を後ろ盾とする攻撃者は、広く普及しているオープンソースプロジェクトを最大の標的に据えるようになっている。そして昨今では、新たな脆弱性が発見されるやいなや、ものの数時間で悪用されるようになっている。このため、広範囲に普及しているLog4jの問題が発覚した際も、多くの企業は非常事態への突入を余儀なくされ、攻撃される前に自社のアプリケーションをアップデートしようとした。

 この問題の一部には、ソフトウェアチェーンのセキュリティ企業CodenotaryのバイスプレジデントであるJack Aboutboul氏が指摘しているように、開発者やメンテナーらの作業に支払う対価という話もある。同氏は、「あるオープンソースソフトウェアを自社で使用している事実に気付いたFortune 500企業が、今まで対価を支払ったことがないにもかかわらず、そのソフトウェアのメンテナーに『回答を要求する』という高圧的な電子メールを送りつけてきた話を知っているだろうか?」という質問を投げかけた上で、「われわれはその話を聞いて、笑い事ではないと思った。この一件は、サプライチェーンをセキュアにするための方法について、最も明らかであろう点を示している。それは、メンテナーたちに対価を支払うというものだ。今回立ち上げられたOpenSSFのプロジェクトに代表されるように、どのようなプロジェクトやイニシアチブであっても、Omegaの対象となるソフトウェアのメンテナーらに支払うための資金が用意されなければ、それらは完了することもなければ、完全な実現を見ることもない。資金がなければ、メンテナーが担当するコード内に潜んでいる脆弱性がより多く見つかるだけで、彼らは依然として対価を得ない状態で、今まで以上の作業を抱え込まされるようになる」と述べた。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]