Infostand海外ITトピックス

「OSSを安全に」 OpenSSFらがセキュリティ改善に動員計画

相次ぐOSSのセキュリティ問題

 OSSには、誰もがコードを見ることができるため修正のスピードが速く比較的安全というメリットがある。その一方、無償であることや、充実した商利用ライセンスなどから、人気のものは多くのシステムに組み込まれている。そこに重大な脆弱性があった場合、非常に広範囲に影響を与えることがある。

 このことを世界が強く実感したのは、2014年に確認された暗号化ライブラリ「OpenSSL」の脆弱性「Heartbleed」だった。さらに2021年にはSolarWindsのソフトウェアを通じたサプライチェーン攻撃が発生。米石油パイプライン大手Colonial Pipelineが攻撃を受けるなど生活インフラにも被害が及んだ。そして昨年末の「Apache Log4j 2」の脆弱性問題だ。

 産業界は、その都度対応してきた。OpenSSFは、Heartbleedの脆弱性に対処するために立ち上げられたイニシアチブ「Core Infrastructure Initiative」(CII)を中心として、OSS関連の団体や企業が結集して2020年に発足したプロジェクトだ。既に、OSSのセキュリティに1億1000万ドル以上を費やしているという。

 OpenSSFの参加企業はこれまでに、セキュリティポリシーを強制するGitHubアプリケーション「Allstar」、セキュリティ状況の指標を示すスコアリング「Scorecard」などを公開している。OSSのパッケージを分析する「Open Source Package Analysis」は4月に発表されたものだが、パッケージ管理の「npm」と「PyPI」に登録されたものから、試験段階で200を超える悪意のあるパッケージを検出したという。

 米政府もOSSのセキュリティ問題を重要視して動いている。Baiden大統領はちょうど1年前に「国家サイバーセキュリティ改善に関する大統領令」(EO 14028)を出している。民官のセキュリティ情報の共有、サイバー攻撃の際の情報開示などを求めたものだ。