OSSサプライチェーンのセキュリティ向上へ–OpenSSFの「Alpha-Omega」プロジェクト

今回は「OSSサプライチェーンのセキュリティ向上へ–OpenSSFの「Alpha-Omega」プロジェクト」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　「Alpha-Omega Project」とは何だろうか。その目的は、「オープンソースプロジェクトのメンテナーらとの協力の下、オープンソースコードに潜んでおり、まだ発見されていない新たな脆弱性を組織的に探す出し」、それらを修正することで、「グローバルなオープンソースソフトウェアのサプライチェーンのセキュリティを向上させる」ことだ。これは、オープンソースのセキュリティを向上させる上で必要不可欠なものとなる。

　The Linux FoundationのパートナーグループであるOpen Source Security Foundation（OpenSSF）とGoogle、Microsoftは、セキュリティの専門家らと連携するとともに、自動化されたセキュリティテストを用いてオープンソースのセキュリティを向上させようとしている。また、MicrosoftとGoogleは同プロジェクトのために500万ドル（約5億8000万円）を拠出する。

　ソフトウェアサプライチェーンのセキュリティは必要不可欠なものとなっている。SolarWinds製品のサプライチェーンに対する攻撃や、「Apache Log4j」の脆弱性、開発者自らの手によるnpmパッケージへの無限ループの追加など、大きなセキュリティ事件が次から次へと発生しているが、これらすべてはソフトウェアサプライチェーンの脆弱性という問題に帰着すると言える。

　ハッカーや、国家を後ろ盾とする攻撃者は、広く普及しているオープンソースプロジェクトを最大の標的に据えるようになっている。そして昨今では、新たな脆弱性が発見されるやいなや、ものの数時間で悪用されるようになっている。このため、広範囲に普及しているLog4jの問題が発覚した際も、多くの企業は非常事態への突入を余儀なくされ、攻撃される前に自社のアプリケーションをアップデートしようとした。

　この問題の一部には、ソフトウェアチェーンのセキュリティ企業CodenotaryのバイスプレジデントであるJack Aboutboul氏が指摘しているように、開発者やメンテナーらの作業に支払う対価という話もある。同氏は、「あるオープンソースソフトウェアを自社で使用している事実に気付いたFortune 500企業が、今まで対価を支払ったことがないにもかかわらず、そのソフトウェアのメンテナーに『回答を要求する』という高圧的な電子メールを送りつけてきた話を知っているだろうか？」という質問を投げかけた上で、「われわれはその話を聞いて、笑い事ではないと思った。この一件は、サプライチェーンをセキュアにするための方法について、最も明らかであろう点を示している。それは、メンテナーたちに対価を支払うというものだ。今回立ち上げられたOpenSSFのプロジェクトに代表されるように、どのようなプロジェクトやイニシアチブであっても、Omegaの対象となるソフトウェアのメンテナーらに支払うための資金が用意されなければ、それらは完了することもなければ、完全な実現を見ることもない。資金がなければ、メンテナーが担当するコード内に潜んでいる脆弱性がより多く見つかるだけで、彼らは依然として対価を得ない状態で、今まで以上の作業を抱え込まされるようになる」と述べた。