アメリカ政府はオープンソースソフトウェアの開発者およびオペレーターとの間で脅威情報を共有するプログラムを発表した。これにより、オープンソースソフトウェアの組織は安全性向上のための取り組みを強化する。CISAディレクターのJen Easterlyはオープンソースソフトウェアセキュリティサミットで基調講演を行った。
オープンソースソフトウェアのセキュリティにおいて、ソフトウェア開発者は脆弱性に対する責任を持つ。ソフトウェアメーカーはオープンソースソフトウェアの適切な検証と貢献を呼びかけられている。また、Synopsysが発表したオープンソースセキュリティレポートは、この分野の現状を示している。
ログ4jの脆弱性は、オープンソースソフトウェアセキュリティへの注目を集めた。バイデン政権はこの問題に対して注力しており、ソフトウェア開発者とベンダーのサポートの重要性が強調されている。
【ニュース解説】
アメリカ政府とオープンソースソフトウェアの開発者や運用者間で、ソフトウェアのサプライチェーンセキュリティを向上させるための一連の取り組みが発表されました。これには、アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)が主導する、脅威情報共有プログラムの導入が含まれます。CISAのディレクターであるJen Easterlyは、オープンソースソフトウェアセキュリティサミットでの基調講演で、セキュリティインシデント周りのリアルタイムなコラボレーションを促進したいと述べました。
この取り組みは、オープンソースソフトウェアの安全性を高めるために、開発者がサポートを強化することを再度呼びかけるものです。また、Rust FoundationやPython Software Foundationなどの主要なオープンソースソフトウェア組織は、それぞれのプロジェクトで安全性を向上させるための一連のステップを約束しました。これには、パッケージリポジトリのための公開鍵インフラの開発や、悪意のあるパッケージを特定するツールの公開などが含まれます。
この動きは、オープンソースソフトウェアのセキュリティに対する注目が高まっている背景があります。特に、2021年末に発見されたオープンソースのJavaベースのログ記録ライブラリであるLog4jの深刻な脆弱性は、多くの政府機関にとって大きな警鐘となりました。この脆弱性は、オープンソースソフトウェアの広範な展開により、その利用がより影響力を持つことを示しました。
このニュースの重要なポイントは、オープンソースソフトウェアのセキュリティ強化が、単に開発者やオペレーターの責任だけでなく、ソフトウェアメーカーや利用者にも広がっていることです。ソフトウェアメーカーは、使用しているオープンソースソフトウェアを適切に検証し、財政的支援や開発者の時間を提供することで、そのセキュリティを向上させる責任があります。
しかし、SynopsysのシニアソフトウェアマネージャーであるMike McGuireが指摘するように、開発組織がオープンソースソフトウェアを活用しながら、そのセキュリティパッチの適用にもっと投資しなければ、どんな取り組みも実際のアプリケーションのセキュリティ向上にはつながりません。これは、オープンソースコミュニティだけでなく、それを利用する組織全体の問題であり、セキュリティの向上には全員の協力が必要であることを示しています。
from Securing open source software: Whose job is it, anyway?.
