もうOSS保守者に頼らない OpenSSFが「オープンソース消費マニフェスト」を公開：Cybersecurity Dive

Open Source Security Foundationは、OSSを利用した開発において注意すべき事項をまとめた「オープンソース消費マニフェスト」を公開した。

[David Jones，Cybersecurity Dive]

　Open Source Security Foundation（以下、OpenSSF）の専門家グループによると、ソフトウェアサプライチェーンにおける大規模なセキュリティ問題を解決する鍵は、オープンソースソフトウェア（以下、OSS）の主要な使用者にあるという。

オープンソース消費マニフェストが呼びかけるOSSとの“付き合い方”

　OpenSSFのエンドユーザーワーキンググループの意見を代表する形で2023年8月24日（現地時間）に発表された文書「オープンソース消費マニフェスト」は（注1）、商用および非商用の開発組織に対し、次のことを呼びかけている。

• 安全なソフトウェアサプライチェーンを構築する上で、OSSの使用に関する重要な役割を考慮すること
• OSSの使用とリスク許容度や規制の状況などの要因に依存するリスクプロファイルとのバランスをとること
• 脆弱（ぜいじゃく）性や悪意のあるソフトウェア、コンポーネントの選択など、潜在的なリスクを認識すること
• 全ての脆弱性が積極的に管理されているわけではなく、共通脆弱性評価システム（CVSS）などのリスクスコアリングシステムを後から確認することでリスクの状態が分かる場合があると理解すること
• 既知の脆弱性や悪意あるパッケージと一致するコンポーネントに対する監査と隔離機能を活用すること

より安全なOSS利用を目指して

　サイバーセキュリティ事業を営むSonatypeの共同設立者兼CTO（最高技術責任者）であり、同マニフェストの作成者の1人でもあるブライアン・フォックス氏によると、同マニフェストは、自社のソフトウェアに依存する形でオープンソースコンポーネントを使用している組織を対象としているという。

　フォックス氏は「一般的なアプリケーションの80〜90％は、OSSを使って作られており、この状況は20年近く変わっていない。これらの組織は購入したサードパーティー製ソフトウェアを管理するのと同じように、OSSに依存する状況を管理する必要がある」と述べる。

　OpenSSFは、OSS保守者がソフトウェアサプライチェーンのセキュリティにおける負担の大部分を負うべきではないと主張している。

　Solarwindsに対するマルウェア「Sunburst」を使ったサプライチェーン攻撃や「Apache Log4j」（以下、Log4j）の脆弱性が悪用されたような事件は、信頼の危機につながったが、OpenSSFはOSSを大規模に使用する企業や個人による新たな慣行が、現在の状況を変えることができると主張している。

　ホワイトハウスがオープンソースセキュリティとメモリ安全性の高い言語の使用に関する情報提供要請を発表した数週間後に、同マニフェストは発表された（注2）。バイデン政権の国家サイバーセキュリティ戦略の中心的な要素の一つは、Log4jの危機を受けて、サプライチェーンの安全性を確保するためのより良い方法を開発することだった。

（注1）Join Us in Adopting the Open Source Consumption Manifesto（OpenSSF）

（注2）White House wants input on open source security, memory-safe languages（Cybersecurity Dive）

原文へのリンク