OSSのセキュリティ強化へ–グーグルが提案する"重要"プロジェクト向けルール

今回は「OSSのセキュリティ強化へ–グーグルが提案する"重要"プロジェクト向けルール」についてご紹介します。

関連ワード （ソフトウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　オープンソースソフトウェアはクローズドソースよりも安全との見方もあるが、これはコードが十分に調べられていればの話だ。それは簡単なことではないとGoogleは主張している。

　Googleの数人のトップエンジニアは、将来重要なオープンソースソフトウェアプロジェクトがサプライチェーン攻撃などの原因となることを避けるためとして、新たな「規範」を提案した。これらの提案は、（もし関与しているプロジェクトが「重要」だと判断されれば）オープンソースのコントリビュータ―にとっては面倒になりかねないものだ。

　Googleは、業界として特定のプロジェクトを「重要」だと判断した場合、そのプロジェクトのオーナーやメンテナーが身分を特定可能で、責任を負うことができ、認証されていることを義務づけるという新たなルールを提案している。つまり、この提案が実現すれば、コードを意のままに変更することはできなくなる可能性があり、変更内容は必ず第三者のレビューを受けることになる。

　Googleは、この重要なオープンソースソフトウェアに関する提案はプロジェクトオーナーの負担を増やすものであるため、抵抗を受けることを予想しているという。

　同社は「私たちの意見は、コンセンサスと持続可能なソリューションがもっとも重要なこの分野における1つの意見にすぎない」と認めている。しかし、同社のIT業界に対する影響力は大きい。同社は、それらの目標を達成するための提案について説明するブログ記事を公表した。

　Googleのプログラミング言語「Go」の主要な設計者の1人であり、ディスティングイッシュドエンジニアのRob Pike氏は、新たなブログ記事の中で、業界は「共同で『重要』なソフトウェアパッケージのセットを定め、このセットに対してだけは高いスタンダードを適用する」ことに合意すべきだと主張している。

　重要なオープンソースソフトウェアに対して掲げる目標には、次のようなものがある。

　Pike氏らは、「（これらの目標を達成するのは）負担が大きく、ある程度の抵抗を受けることが予想されるが、これらの追加的な制約は、セキュリティを実現するためには欠かせないと考えている」と説明している。

　またGoogleは、すべてのオープンソースソフトウェアに当てはめるべき目標も提案し、業界に検討することを求めている。これらに対する異論は比較的少ないと思われるものの、実現するにはGoogleでさえ難しいと考えるような作業や問題解決が必要になる。