インフォセキュリティマガジン副編集長
オープンソース ソフトウェアのセキュリティを強化することは、このコミュニティの非公式かつ遍在的な性質を考えると、政府にとって大きな課題となっています。
しかし、これは、ソフトウェア全般にわたって設計段階からのセキュリティを推進し、脆弱性の悪用やサプライチェーンのインシデントを削減するという米国政府の取り組みの重要な要素です。
RSA カンファレンス 2024 は、政府関係者とオープンソース ソフトウェアの関係者が、このユニークなエコシステムで設計によるセキュリティの原則をどのように推進するかについて議論する機会を提供しました。
ここでは、オープンソース開発においてセキュリティが実用的かつ協調的な方法で強化されることを保証するために強調されている 3 つの主要なアプローチを紹介します。
オープンソースのエンドツーエンドのソフトウェア開発プラットフォームである GitLab の CISO である Josh Lemos 氏によると、オープンソースのエコシステムに適用できる適切な規制モデルは現在存在しない。これは、オープンソース プロジェクトは一般にボランティアによって運営、管理されており、ボランティアには、そのコードが他の人や企業によって使用される際にセキュリティの問題に対処する契約上の義務がないからである。
彼は、この分野の規制に関する最善の行動方針を策定するために、政府はオープンソースコミュニティと緊密に協力する必要があり、そうしないと、イノベーションの阻害など、意図しない結果を招くリスクがあると考えています。
「規制の策定に協力的なアプローチがあれば、私たちが求めている保証を得ながら、有意義なセキュリティ成果が得られる可能性が十分にあると思います」とレモス氏は語った。
その良い例は、現在法律として成立する最終段階にある EU のサイバーレジリエンス法の初期草案にあります。
オープンソースセキュリティ財団(OpenSSF)のゼネラルマネージャー、オムカール・アラサラトナム氏は、この法案の以前の草案にはオープンソースのエコシステムに深刻な損害を与える条項があり、オープンソースの貢献者に責任を負わせるなど、本質的には彼らを商用ソフトウェアのプロデューサーとして扱っていたと指摘した。
これらの規定は、OpenSSF などのオープンソース団体からのフィードバックを受けて、最終草案で大幅に改善されました。Arasaratnam 氏は、オープンソース セキュリティの問題について世界各国の政府や立法者と関わる際には、この経験から教訓を学ぶことが重要であると述べました。特に、幅広い視点を得るためにコミュニティを適切に組織することが重要です。
「私たちはコミュニティのあらゆる分野から意見を集め、高く評価される最低限の共通事項を提唱する必要がある」とアラサラトナム氏はインフォセキュリティに語った。
オープンソース ソフトウェアの開発におけるセキュリティ強化の大きな障壁の 1 つは、アラサラトナム氏が「経済的な不透明性」と表現するものです。
これは、メーカーがオープンソース コードを利用してソフトウェア開発をスピードアップすることによるメリットに関係しています。ただし、現時点ではメーカーにとって経済的なインセンティブがないため、メーカーはこの公開サービスのセキュリティやメンテナンスには貢献していません。
「特にメーカーの場合、ソフトウェアを自社のものとして扱う義務を常に意識しているわけではありません」とアラサラトナム氏は述べた。
こうしたインセンティブを生み出す方法の 1 つは、安全でないオープンソース ソフトウェアに対して、開発者自身ではなく、そのコードを製品に組み込んだ製造業者に法的責任を負わせることです。
RSAカンファレンスのパネルディスカッションで、ジョージ・ワシントン大学の国家安全保障、サイバーセキュリティ、外交法の実務教授であるジョナサン・シーダーバウム氏は、自動車業界に対しても同様のアプローチを提唱し、自動車メーカーはサードパーティベンダーから自社の車両に組み込まれる部品の安全性について責任を負うことになる、と述べた。
これにより、サプライチェーン全体でセキュリティ対策の改善が促進されるはずです。「これにより、大手ベンダーは購入する部品を精査し、欠陥を探し、自ら修正するか、修正を要求する大きな動機付けが得られます」と Cedarbaum 氏は説明します。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)の上級技術顧問ボブ・ロード氏は、これにはメーカーが、自社が利用するソフトウェアではRustなどのメモリセーフなプログラミング言語に偏っていることを明確にすることが含まれるべきだと述べた。
RSA カンファレンスのもう一つの主要テーマは、AI によってオープンソース ソフトウェアのセキュリティを大幅に強化する機会がもたらされることです。
これを念頭に、米国防総省の機関である国防高等研究計画局(DARPA)は、AIチャレンジを立ち上げ、AIとサイバーセキュリティの専門家に、オープンソースを含むソフトウェアコードを自動的に保護するAI駆動型システムの開発を課しました。
OpenSSF やその他のオープンソース団体は、Google や Microsoft などのテクノロジー大手とともに DARPA と協力し、コミュニティに利益をもたらすソリューションの開発に取り組んでいます。優勝したソリューションは、2025 年の DEFCON カンファレンスで発表されます。
Arasaratnam 氏は、この取り組みにより、オープンソース開発者がコードを簡単に保護できる多くの革新的なソリューションが生まれることに興奮しています。
「優勝したソリューションはOpenSSFプロジェクトとしてオープンソース化され、その後は永続的に運用される予定です」と彼は付け加えた。
レモス氏はまた、生成 AI ツールによってオープンソース コードを安全に開発しやすくなるいくつかの方法についても強調しました。
1 つの方法は、これらのツールを使用して開発者とテスト ケースを生成することです。「私の仮説は、テスト ケースの前提からソフトウェア、そして開発ライフサイクルまで、より適切に構成された、より安全なコードを作成できるということです」と彼は指摘しました。
もう 1 つは、AI を使用して依存関係を分析することで、防御が必要なソフトウェアを最小限に抑えることです。「依存関係が使用される場合は、パッチを適用する必要がある依存関係の数を減らす修正を提案します」と Lemos 氏は説明します。
元記事: https://www.infosecurity-magazine.com/news/strategies-boost-open-source/