オルタナティブ・ブログ > 路の上で >

日頃考えていることをぽちぽち書きます。

OSS品質向上の取り組みと使う側の覚悟の必要性

»

僕がLinuxを使い出した20年以上前には、Open Source Software (OSS)と言う開発方式だけで品質が高い幻想が持たれることもありましたが、今更単純にそう思う人はいないでしょう。とは言え、昨年末のLog4j 2や、先日のcolors.jsで、OSSのサイバーセキュリティ含めた品質や運営が、身近な課題だったと改めて思い知らされました。
特にビジネスユーザーは単に使わせてもらうだけではなく、貢献が求められるようになったと思います。
ちょうど先週は、以下記事のようにホワイトハウスでOSSセキュリティに関する会議が開催されています。
米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催

今回は、それに関わる2件をご紹介。

ひとつ目は、Open Source Security Foundation (OpenSSF)で、2020年8月に発表された、Linux Foundation下のOSSのサイバーセキュリティを高める取り組みです。
最初はmetrics, tooling, best practices, developer identity validation and vulnerability disclosures best practicesに集中的に取り組み、次は、Harvard's Lab for Innovation Scienceが特定したミッションクリティカルなソフトウェアに資源を集中して取り組むそうです。
Harvard's Lab for Innovation Scienceの報告は以下。
The Linux Foundation and Harvard's Lab for Innovation Science Release Census for Open Source Software Security

6つのworking group、Vulnerability Disclosures、Security Tooling、Identifying Security Threats to Open Source Projects、Security Best Practices、Securing Critical Projects、Supply Chain Integrityがあり、目的は違いますが、成果はOSS以外のソフトウェアでも十分に使えそうです。

もうひとつは、Apache Software Foundation (ASF)の上記ホワイトハウスでの会議に向けたポジションペーパー。
Position Paper

彼らはまず、利用者側(downstream)の関わりが重要であるのにも関わらず、少ないと指摘しています。その上で4点の推奨事項を挙げています。

  • どの部品(若杉注: OSS)を使用しているか把握し、脆弱性が見つかったら素早く対応できるように準備しておく。OSSがセキュリティ更新を提供し続けていることを確認する。
  • 資金は必要だが、それよりも、ユーザーはバグの修正、セキュリティ監査で貢献すること。
  • OSSプロジェクトは、NVD等に脆弱性情報を登録するためセキュリティメタデータを素早く発行すること。
  • "We support the notion of identifying critical components."は僕の英語力不足で解釈が難しいですが、おそらく個々のOSSの重要度はそれの使われ方に依存し、重要度を判定することが難しいため、ASFは業界標準等の導入をサポートする、と言っているのだと思います。

OSSが無保証であるにしても、重要な用途で使われるようになったからにはOSSメインテナーのモチベーション等を維持しつつ信頼性を上げなくてはならないし、そのためには使う側もただ使うだけではすまない、と理解しました。さて何ができるだろう?

Comment(0)