企業の「OSSただ乗り」はもう限界 Log4jの悪夢から何を学ぶか：Cybersecurity Dive

Tideliftの調査によると、OSSの主要な製作者に対する報酬の格差が明らかになり、ソフトウェアのサプライチェーンを適切に保護する方法についての疑問が呈されている。

[David Jones，Cybersecurity Dive]

　ソフトウェアサプライチェーンのセキュリティ強化が盛んになっているが、オープンソースソフトウェア（以下、OSS）管理ソリューションを提供するTidelift社が2023年5月2日（現地時間）に発表した報告書によると（注1）、OSS保守者の60％以上が、無給で趣味として保守を実施している。

　この報告書は、政府や民間産業によるOSSの使用とそのプロジェクトを支える労働力に対する報酬の不足との間に引き続き存在する不均衡を強調している。

企業の「OSSただ乗り」はセキュリティ上にも悪影響

　調査対象となった300人の保守者のうち、自分自身をプロフェッショナルと見なし、収入の大部分をオープンソースプロジェクトの仕事から得ている人はわずか13％だった。約23％はプロジェクトのメンテナンスの報酬を収入の一部としており、自らをセミプロとみなしている。

　オープンソースは、連邦政府機関や企業のユーザーに広く利用されているが（注2）、保守者に適切な報酬を与えられなければ、アプリケーションの脆弱（ぜいじゃく）性をスクリーニングすることは非常に難しくなる。

　この報告書は「国家サイバーセキュリティ戦略」が発表されてからわずか2カ月後に公開された。国家サイバーセキュリティ戦略は、悪意のあるハッカーやデータセキュリティに対するその他の脅威から何百万人もの消費者や重要な産業を守るために、米国全体でより強靭な技術基盤を構築するための包括的なロードマップとして策定されたものだ。国家サイバーセキュリティ戦略が発表されてからわずか2カ月後に公開された。

　現代の商用ソフトウェアの70〜90％はOSSのコンポーネントを含んでおり（注3）、現代のアプリケーションの多くを保護するためにはOSSがより高いセキュリティ基準を満たす必要がある。

　しかし、現行の報酬モデルでは無報酬のOSSプロジェクトメンテナーはそのセキュリティを強化するための時間やリソースを持っていない。

　TideliftのCEOであるドナルド・フィッシャー氏は「前に進むための非常に分かりやすい方法がある。業界は、彼らに収入とプロセスのサポート、そしてプロジェクトに安全な開発基準を適用するための援助を提供する必要がある」と述べた。

　シリコンバレーの裕福な関係者がオープンソースの開発者を利用して何十億ドルもの利益を得ているにもかかわらず、これらの労働者の時間と労力を適切に補償するために必要な投資をこれまで行ってこなかったという公平性の危機を「Apache Log4j」の脆弱性が浮き彫りにした（注4）。

（注1）Tidelift Study Reveals That Despite Increasing Demands From Government and Industry, 60% of Maintainers Are Still Unpaid Volunteers（Tidelift）
（注2）Strict security rules could push open source community out of federal work, expert says（Cybersecurity Dive）
（注3）A Summary of Census II: Open Source Software Application Libraries the World Depends On（The Linux Foundation）
（注4）Apache tells US Senate committee the Log4j vulnerability could take years to resolve（Cybersecurity Dive）

原文へのリンク