SBOM管理のフォーマットよりも「独学」が最大のリスク OSSセキュリティに有識者の苦言

Apache Log4j問題を取り上げるまでもなく、企業ITにも広くOSSが浸透する現在、セキュリティ対策でもこれらに対応する必要がある。OSS開発コミュニティーはサプライチェーン管理の現状とセキュリティリスクをどう捉えているだろうか。

[宮田健，ITmedia]

　Linux FoundationとOpen Source Software Security Foundation（以下、OpenSSF）は2022年8月23日、「Open Source Security Summit Japan」を開催した。同サミットは、日本企業や政府機関、研究機関のサイバーセキュリティの専門家を招集し、オープンソースソフトウェア（以下、OSS）のセキュリティに関する問題の共有と改善策を議論した。

　プレスブリーフィングでは、Linux Foundationのエグゼクティブ ディレクターであるジム・ゼムリン氏とOpen Source Security Foundationのゼネラル マネジャーであるブライアン・ベーレンドルフ氏がOSSセキュリティの現状を解説した。

「OSSエンジニアの"独学"は必ずしも正しいものではない」と断言する理由

ジム・ゼムリン氏

　ジム・ゼムリン氏は「OSSは多くの組織で活用されている。NECや富士通、日立などの企業はLinux Foundationの創設メンバーとして20年以上にわたり、OSSのメリットを日本市場でアピールしてきた」と述べた一方で、「OSSにも課題がある」と現状をみる。