Open Source Security Foundationは、OSSを利用した開発において注意すべき事項をまとめた「オープンソース消費マニフェスト」を公開した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Open Source Security Foundation(以下、OpenSSF)の専門家グループによると、ソフトウェアサプライチェーンにおける大規模なセキュリティ問題を解決する鍵は、オープンソースソフトウェア(以下、OSS)の主要な使用者にあるという。
OpenSSFのエンドユーザーワーキンググループの意見を代表する形で2023年8月24日(現地時間)に発表された文書「オープンソース消費マニフェスト」は(注1)、商用および非商用の開発組織に対し、次のことを呼びかけている。
サイバーセキュリティ事業を営むSonatypeの共同設立者兼CTO(最高技術責任者)であり、同マニフェストの作成者の1人でもあるブライアン・フォックス氏によると、同マニフェストは、自社のソフトウェアに依存する形でオープンソースコンポーネントを使用している組織を対象としているという。
フォックス氏は「一般的なアプリケーションの80〜90%は、OSSを使って作られており、この状況は20年近く変わっていない。これらの組織は購入したサードパーティー製ソフトウェアを管理するのと同じように、OSSに依存する状況を管理する必要がある」と述べる。
OpenSSFは、OSS保守者がソフトウェアサプライチェーンのセキュリティにおける負担の大部分を負うべきではないと主張している。
Solarwindsに対するマルウェア「Sunburst」を使ったサプライチェーン攻撃や「Apache Log4j」(以下、Log4j)の脆弱性が悪用されたような事件は、信頼の危機につながったが、OpenSSFはOSSを大規模に使用する企業や個人による新たな慣行が、現在の状況を変えることができると主張している。
ホワイトハウスがオープンソースセキュリティとメモリ安全性の高い言語の使用に関する情報提供要請を発表した数週間後に、同マニフェストは発表された(注2)。バイデン政権の国家サイバーセキュリティ戦略の中心的な要素の一つは、Log4jの危機を受けて、サプライチェーンの安全性を確保するためのより良い方法を開発することだった。
(注1)Join Us in Adopting the Open Source Consumption Manifesto(OpenSSF)
(注2)White House wants input on open source security, memory-safe languages(Cybersecurity Dive)
© Industry Dive. All rights reserved.