OSSが抱えるセキュリティの「難しさ」とは

Techstrong Groupは1月8日(米国時間)、セキュリティブログ「Security Boulevard」の記事「Census III study spotlights ongoing open-source software security challenges - Security Boulevard」において、フリーオープンソースソフトウェア(FOSS: Free and Open Source Software)のセキュリティ課題について洞察を伝えた。

これはThe Linux Foundationとハーバード大学のイノベーション科学研究所が共同で実施した「Census III of Free and Open Source Software – Application Libraries」のレポートについて分析したもので、その概要を伝えている(参考：「Census III of Free and Open Source Software」)。

• 

  Census III study spotlights ongoing open-source software security challenges - Security Boulevard

フリーオープンソースソフトウェアの課題

レポートではFOSSの課題の一つとして、下位互換性の低さを挙げている。その例の一つがPython2からPython3へのバージョンアップであり、依存ソフトウェアに大きな修正が加えられた場合、技術的に移行が可能だったとしてもその作業には10年以上かかる場合があるという。

その移行の遅れが古いバージョンの脆弱性を維持することにつながり、セキュリティリスクを引き起こす可能性が指摘されている。Menlo SecurityサイバーセキュリティエキスパートのNgoc Bui氏は次のように述べ、Python2が長期間にわたり利用されている現状に警鐘を鳴らた。

他の課題としては標準化されたソフトウェアコンポーネントの命名スキーマを挙げている。必要な基準を満たす命名スキーマの一つとしてパッケージURL(PURL: Package URL)を挙げ、リスク回避に適切な命名スキーマの採用が重要だと説明した。

適切な命名スキーマが採用されない場合、ソフトウェア構成、脆弱性およびリスク分析ツールは適切に機能せず、潜在的な問題や落とし穴に誰も気づけなくなるという。Dark Sky Technologyの最高経営責任者(CEO: Chief Executive Officer)を務めるMichael J. Mehlberg氏は、不適切な命名スキーマを採用した場合の影響を次のように述べている。 た。

関わる人が少ないことで生じるリスク

レポートでは人員の少ないフリーオープンソースソフトウェアにリスクが存在すると警告している。2023年の上位50のプロジェクトの中でNPMを除いた47プロジェクトの分析において、コミットの80%以上を1人の開発者が行ったプロジェクトは約17%、2人以下は約40%、4人以下は約64%、10人以下は約81%とされる。

この事実について研究者は次のように述べている。

そして次のような問題を起こす可能性があると指摘している。

この問題の典型的なインシデントとしては、圧縮ツールおよびライブラリの「xz」侵害事案がある(参考：「緊急警告、圧縮ツールxzにsshdを介した不正アクセスの可能性 - 利用の中止を | TECH+（テックプラス）」)。

最後に、Techstrong Groupは「個人の寄り合い所帯のプロジェクトで合意を得ることは難しい」との発言を取り上げ、フリーオープンソースソフトウェアにおけるセキュリティ強化に向けた取り組みの難しさを伝えた。