The Linux Foundation Japanは5月28日、調査レポート「オープンソース ソフトウェアのセキュリティに関するメンテナーの視点」を公開した。同レポートは、Linux Foundation ResearchがOpen Source Security Foundation(OpenSSF)と共同で発表した調査レポート「Maintainer Perspectives on Open Source Software Security」の日本語版。
この調査は2022年3月、Linux Foundationメンバーシップ、パートナーコミュニティ、ソーシャルメディア、サードパーティーのパネルプロバイダーを対象にWeb調査により実施されたもの。回答者数は1,175名。
2022年6月にも結果の一部をレポートとして公開しているが、2023年12月にすべての調査内容を反映し専門家(SME:サブジェクトマターエキスパート)へのインタビューから収集されたデータを加えたレポートを公開した。今回のレポートはその日本語版となる。
オープンソース ソフトウェアの健全性と持続可能性を確保する取り組みにおいて、メンテナーは重要な役割を果たす。レポートでは、ソフトウェアのセキュリティを強化するツールやプラクティスを構築する際に、これらのツールがメンテナーの能力を高め、追加の負担にならないようにするための方策を探っている。
レポートでは、OSSコントリビューターをその貢献度によって「メンテナー、コアコントリビューター(コミッター)」と「その他」の2つのカテゴリーに分類している。「OSSコードの開発や利用プロセスが安全である」と回答したのは、全体の62%で、19%は「安全ではない」と回答している。ただし、安全性は今後さらに向上していくと考えている。
全体としては、組織内でOSSのセキュリティポリシーを定義する主なアプローチは、CISOおよび(または)セキュリティチームの責任であるとしているが、OSSメンテナーの 27%(その他のOSSコントリビューターの12%)はメンテナーに策定責任があると回答している。
OSSパッケージのセキュリティの評価に最も使用されているのはSCAおよびSASTツールであった。一方で、メンテナーとコアコントリビューターの39%はソースコードを手動でレビューしており、手作業の重要性を意識している。
レポートでは、その内容を「オープンソースメンテナーとその他のオープンソースソフトウェアコントリビューターの視点の比較」「セキュアなソフトウェア開発に関するメンテナーの視点」「ソフトウェアのセキュリティと持続可能性を向上させる方法に関するオープンソース コントリビューターの視点」「結論」に分け、詳しく解説している。
2024年3月に、OSSの圧縮ツール「XZ Utils」にバックドアが仕込まれていたことが明らかになっているが、この事件は悪意のある第三者がコアコントリビューターにクレームとパッチプログラムの提案を繰り返すことで正式なメンテナーとして参加し、悪意のあるコードを仕込むというソーシャルな手法を使用していた。
この調査が行われたのは2022年であることを考えると、Linux Foundationはこうしたリスクも想定していたと考えられる。世界の90%以上の組織がOSSを使用している現在、このレポートは重要な意味があるだろう。
