Linux Foundation、メンテナーに注目し OSS のセキュリティを考える調査レポート公開 | ScanNetSecurity
2024.06.26(水)

Linux Foundation、メンテナーに注目し OSS のセキュリティを考える調査レポート公開

The Linux Foundation Japanは、調査レポート「オープンソース ソフトウェアのセキュリティに関するメンテナーの視点」を公開した。

調査・レポート・白書・ガイドライン
調査結果の概要
  • 調査結果の概要
  • 調査レポート「オープンソース ソフトウェアのセキュリティに関するメンテナーの視点」

 The Linux Foundation Japanは5月28日、調査レポート「オープンソース ソフトウェアのセキュリティに関するメンテナーの視点」を公開した。同レポートは、Linux Foundation ResearchがOpen Source Security Foundation(OpenSSF)と共同で発表した調査レポート「Maintainer Perspectives on Open Source Software Security」の日本語版。

 この調査は2022年3月、Linux Foundationメンバーシップ、パートナーコミュニティ、ソーシャルメディア、サードパーティーのパネルプロバイダーを対象にWeb調査により実施されたもの。回答者数は1,175名。

 2022年6月にも結果の一部をレポートとして公開しているが、2023年12月にすべての調査内容を反映し専門家(SME:サブジェクトマターエキスパート)へのインタビューから収集されたデータを加えたレポートを公開した。今回のレポートはその日本語版となる。

 オープンソース ソフトウェアの健全性と持続可能性を確保する取り組みにおいて、メンテナーは重要な役割を果たす。レポートでは、ソフトウェアのセキュリティを強化するツールやプラクティスを構築する際に、これらのツールがメンテナーの能力を高め、追加の負担にならないようにするための方策を探っている。

 レポートでは、OSSコントリビューターをその貢献度によって「メンテナー、コアコントリビューター(コミッター)」と「その他」の2つのカテゴリーに分類している。「OSSコードの開発や利用プロセスが安全である」と回答したのは、全体の62%で、19%は「安全ではない」と回答している。ただし、安全性は今後さらに向上していくと考えている。

 全体としては、組織内でOSSのセキュリティポリシーを定義する主なアプローチは、CISOおよび(または)セキュリティチームの責任であるとしているが、OSSメンテナーの 27%(その他のOSSコントリビューターの12%)はメンテナーに策定責任があると回答している。

 OSSパッケージのセキュリティの評価に最も使用されているのはSCAおよびSASTツールであった。一方で、メンテナーとコアコントリビューターの39%はソースコードを手動でレビューしており、手作業の重要性を意識している。

 レポートでは、その内容を「オープンソースメンテナーとその他のオープンソースソフトウェアコントリビューターの視点の比較」「セキュアなソフトウェア開発に関するメンテナーの視点」「ソフトウェアのセキュリティと持続可能性を向上させる方法に関するオープンソース コントリビューターの視点」「結論」に分け、詳しく解説している。

 2024年3月に、OSSの圧縮ツール「XZ Utils」にバックドアが仕込まれていたことが明らかになっているが、この事件は悪意のある第三者がコアコントリビューターにクレームとパッチプログラムの提案を繰り返すことで正式なメンテナーとして参加し、悪意のあるコードを仕込むというソーシャルな手法を使用していた。

 この調査が行われたのは2022年であることを考えると、Linux Foundationはこうしたリスクも想定していたと考えられる。世界の90%以上の組織がOSSを使用している現在、このレポートは重要な意味があるだろう。

《吉澤 亨史( Kouji Yoshizawa )》

編集部おすすめの記事

調査・レポート・白書・ガイドライン アクセスランキング

  1. 2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開

    2023年届出件数 過去最高 100万件超え「フィッシングレポート 2024」公開

  2. 過去 3 年間で大企業の約 3 分の 1 がサイバー攻撃被害に

    過去 3 年間で大企業の約 3 分の 1 がサイバー攻撃被害に

  3. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

    フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  4. SNSのトラブルは「LINE」と「Twitter」が突出、4人に1人がいじめ・嫌がらせを経験(プリキャンティーンズラボ)

  5. 2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性

  6. セキュリティインシデントの年間平均被害額 約3億2,850万円、法人のセキュリティ成熟度調査

  7. 日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

  8. 警察庁 2022年サイバー空間をめぐる脅威公表、ランサムウェア被害右肩上がり

  9. 指定事業者への禁止事項や遵守事項定める ~「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」成立

  10. 間違った意味で使われる言葉の1位は「ハッカー」、「クラッカー」と混同(小学館)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×