企業の「OSSただ乗り」はもう限界 Log4jの悪夢から何を学ぶか:Cybersecurity Dive
Tideliftの調査によると、OSSの主要な製作者に対する報酬の格差が明らかになり、ソフトウェアのサプライチェーンを適切に保護する方法についての疑問が呈されている。
ソフトウェアサプライチェーンのセキュリティ強化が盛んになっているが、オープンソースソフトウェア(以下、OSS)管理ソリューションを提供するTidelift社が2023年5月2日(現地時間)に発表した報告書によると(注1)、OSS保守者の60%以上が、無給で趣味として保守を実施している。
この報告書は、政府や民間産業によるOSSの使用とそのプロジェクトを支える労働力に対する報酬の不足との間に引き続き存在する不均衡を強調している。
企業の「OSSただ乗り」はセキュリティ上にも悪影響
調査対象となった300人の保守者のうち、自分自身をプロフェッショナルと見なし、収入の大部分をオープンソースプロジェクトの仕事から得ている人はわずか13%だった。約23%はプロジェクトのメンテナンスの報酬を収入の一部としており、自らをセミプロとみなしている。
オープンソースは、連邦政府機関や企業のユーザーに広く利用されているが(注2)、保守者に適切な報酬を与えられなければ、アプリケーションの脆弱(ぜいじゃく)性をスクリーニングすることは非常に難しくなる。
この報告書は「国家サイバーセキュリティ戦略」が発表されてからわずか2カ月後に公開された。国家サイバーセキュリティ戦略は、悪意のあるハッカーやデータセキュリティに対するその他の脅威から何百万人もの消費者や重要な産業を守るために、米国全体でより強靭な技術基盤を構築するための包括的なロードマップとして策定されたものだ。国家サイバーセキュリティ戦略が発表されてからわずか2カ月後に公開された。
現代の商用ソフトウェアの70〜90%はOSSのコンポーネントを含んでおり(注3)、現代のアプリケーションの多くを保護するためにはOSSがより高いセキュリティ基準を満たす必要がある。
しかし、現行の報酬モデルでは無報酬のOSSプロジェクトメンテナーはそのセキュリティを強化するための時間やリソースを持っていない。
TideliftのCEOであるドナルド・フィッシャー氏は「前に進むための非常に分かりやすい方法がある。業界は、彼らに収入とプロセスのサポート、そしてプロジェクトに安全な開発基準を適用するための援助を提供する必要がある」と述べた。
シリコンバレーの裕福な関係者がオープンソースの開発者を利用して何十億ドルもの利益を得ているにもかかわらず、これらの労働者の時間と労力を適切に補償するために必要な投資をこれまで行ってこなかったという公平性の危機を「Apache Log4j」の脆弱性が浮き彫りにした(注4)。
(注1)Tidelift Study Reveals That Despite Increasing Demands From Government and Industry, 60% of Maintainers Are Still Unpaid Volunteers(Tidelift)
(注2)Strict security rules could push open source community out of federal work, expert says(Cybersecurity Dive)
(注3)A Summary of Census II: Open Source Software Application Libraries the World Depends On(The Linux Foundation)
(注4)Apache tells US Senate committee the Log4j vulnerability could take years to resolve(Cybersecurity Dive)
関連記事
- Splunk製品の脆弱性に注意 CVSSスコアは8.8
Splunkは「Splunk Enterprise」と「Splunk Cloud Platform」に特権昇格の脆弱性が存在すると伝えた。 - セキュリティは“先の見えない登山”だ 第一歩を踏み出すために有効な資料は
セキュリティは大変奥深いもので、登山に例えると頂上付近には濃霧や雲が立ちはだかり、どこまで山が続くのか分からないという印象を与えます。ただしそんな領域にも第一歩を踏み出すためのドキュメントが用意されているのです。 - 侵入後の検知スピードは向上も油断大敵? マンディアントが年次脅威レポートを公開
マンディアントは年次脅威レポート「M-Trends 2023」の日本語版を公開した。サイバー攻撃者の最新動向から企業が今やるべきセキュリティ対策がみえてきた。 - 脆弱性対応の“解像度”を高めよ アップデートだけでは全然足りない理由
「脆弱性対応=セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。
© Industry Dive. All rights reserved.