XZ Utilsのバックドア挿入に驚いて

先々週末からのXZ Utilsのサイバーセキュリテインシデントには驚きました。
「XZ Utils」にバックドア（CVE-2024-3094）の問題　Fedora、Debian、Alpine、Kali、OpenSUSE、Arch Linuxの開発版、実験版に影響

驚かされたのは、バックドア自体が巧妙なだけでなく、それなりの年月をかけて信頼を得て挿入に至るまでも巧妙だからです。次の記事も経緯がよくまとめられています。
The Mystery of 'Jia Tan,' the XZ Backdoor Mastermind

幸いにして、僕が巻き込まれたのは、cygwinだけのようです。

OSSが十年以上前に言われていたような、複数の目があるから不具合が発生しにくい、発生してもすぐに発見される(だからOSSでないソフトウェアより優れている)、ような単純なものではないのは以前から明らかです。とは言え、今回も一ヶ月で発見されたのは、XZ Utilsのような有名OSSだからでしょう。

今回の事件から言えるのは、ますますディストリビューターの役割が重要になること。ディストリビューターとは、Red Hatのような企業だけでなく、OSSを採用するAndroid、iOSのようなOS、さらにはアプリケーションを開発する企業や団体を含みます。

そして、OSSプロジェクト運営の監査や、作成されたソースコードやビルド環境の監査も求められるでしょう。問題はその費用で、単純な無償入手の時代は終わりが近いかもしれません。ソースコードは今と同様に公開されていても、利用者がなんらかの形で開発者に今より費用を負担することになるかも。そのためにも、信頼できるOSSプロジェクトである証明が必要と思いました。