企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか？：Cybersecurity Dive

オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。

[David Jones，Cybersecurity Dive]

　データ圧縮ソフト「XZ Utils」を狙ったソーシャルエンジニアリングのキャンペーンが実行されてから数カ月が経過し、オープンソースのメンテナーたちは、これまで以上に高いセキュリティ基準を求められている。

　しかしメンテナーをサポートするTideliftが2024年9月17日（現地時間、以下同）に発表したレポートによると（注1）、メンテナーの大半は依然として無報酬のままだという。

企業がメンテナーに“ただ乗り”する風潮はいつになったら是正される？

　複数年にわたるソーシャルエンジニアリング攻撃が、XZ Utilsという多くの「Linux」ディストリビューションで使われているデータ圧縮ソフトウェアを標的にしており（注2）、攻撃は2024年3月末にピークに達した。このとき攻撃者と思われる者がxzライブラリーに悪意のあるコードを挿入した。「GitHub」が後にアカウントを停止した「@JiaT75」という人物はライブラリの正当なメンテナーとの間に、数年をかけて信頼関係を築いていた。

　Tideliftの調査によると、メンテナーは以前の約3倍のリソースをセキュリティに費やしており、脆弱（ぜいじゃく）性の調査や、より高いソフトウェアセキュリティ基準への準拠を求められている。メンテナーの約3分の2は「コントリビュータ（寄稿者）に対する信頼度が低下している」と回答した。

　報告書によると、オープンソースコミュニティーに対する企業の要求と、多くの人々が感じる相互性の欠如との間には依然としてギャップが存在している。

　これらのコンプライアンスに関連する圧力が増しているにもかかわらず、約5人に3人のメンテナーは無報酬のままである。44％のメンテナーは報酬を望んでいるが、現在のところ支払われていないようだ。16％のメンテナーは依然として無報酬の趣味のような活動をしており、報酬を求めていない。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）やホワイトハウス（米連邦政府）、その他の機関はオープンソースのセキュリティへの投資を強化する取り組みを推進しているが、業界関係者はさらなる支援が必要だと考えている（注3）（注4）。

　Tideliftのドナルド・フィッシャー氏（共同創設者兼CEO）は、電子メールで次のように述べた。

　「2024年に、疲弊したボランティアのメンテナーを狙ったXZ Utilsの事件が起きたにもかかわらず、大多数のメンテナーが依然として無報酬での活動を考えていることを残念に思う。こうした状況に陥る理由は実に簡単だ。オープンソースを使用している多くの組織が、オープンソースソフトウェアのサプライチェーンの健全性とセキュリティへの投資を優先していないためだ」

　以前と比較して、メンテナーはセキュリティの強化を求める業界の取り組みを認識している。例えば、回答者の40％は「Open Source Security Foundation（OSSF）のScorecardというプロジェクトを知っている」と答えており、これは1年前の28％から増加している。

　また、メンテナーの約5人に2人は、米国国立標準技術研究所（NIST）によるSecure Software Development Frameworkを認識しており、これは1年前の26％から増加している。

　全体としてメンテナーは「プロジェクトのセキュリティを確保するために、より多くの時間と労力を費やしている」と述べている。

　Pythonライブラリ「urllib3」のオープンソースメンテナーであるセス・ラーソン氏は（注5）、次のように述べている。

　「不正使用に対する静的解析を実施し、警告をエラーに変えるテストを実行し、廃止予定の機能を除去している」

　品質管理により多くの労力を注ぐだけでなく、メンテナーたちはプロジェクトに貢献する者に対してより多くの質問をしている。ラーソン氏は「プルリクエスト（変更提案）は、その提出者ではなく内容に基づいて判断される」と述べている。

　例えば、ラーソン氏は共同メンテナーが公開プロフィールや過去のプロジェクトに貢献しているかどうかを確認している。

　オープンソースコミュニティー全体では、潜在的な脅威に関するより多くの情報を共有している。2024年5月に、早期警告のための脅威共有プラットフォームを立ち上げたOSSFは（注6）、コミュニティーに対して、ソーシャルエンジニアリングの試みと積極的に悪用される脆弱性に関する通知を実施している。

（注1）60% of maintainers are (still) not paid for their work（TIDELIFT）
（注2）Motivations behind XZ Utils backdoor may extend beyond rogue maintainer（Cybersecurity Dive）
（注3）CISA to big tech: After XZ Utils, open source needs your support（Cybersecurity Dive）
（注4）White House details $11M plan to help secure open source（Cybersecurity Dive）
（注5）Seth Michael Larson（Seth Michael Larson）
（注6）Open source threat intel platform launched weeks after malicious backdoor targeted XZ Utils（Cybersecurity Dive）

原文へのリンク