要約
- 有料のメンテナーは、未払いのメンテナーよりも重要なセキュリティおよびメンテナンス手法を導入する可能性が55%高く、業界標準であるOpenSSFスコアカードやNISTセキュアソフトウェア開発フレームワーク(SSDF)などのセキュリティ手法の実装にさらに時間を費やしている。
- オープンソースは現代のアプリケーション開発プラットフォームであり、アプリケーションの98%にオープンソースコンポーネントが含まれており、オープンソースコードは平均アプリケーションの70%以上を占める。
- 60%のメンテナーが未払いの趣味の持ち主であり、オープンソースソフトウェアに依存する組織にとって、過労や評価不足、未払いのメンテナーのニーズを無視することがもたらす脅威に取り組むことが重要である。
感想
オープンソースメンテナーの健康とセキュリティは重要であり、有料のメンテナーが重要なセキュリティ手法を実装していることが示されています。組織はオープンソースメンテナーの重要な作業を支援することで、自身のセキュリティにプラスの影響を与えることができるという調査結果は興味深いです。オープンソースメンテナーの労働条件や報酬についての改善が必要であることが示されており、今後のソフトウェアサプライチェーンのセキュリティに対する取り組みが重要であることを再確認しました。
元記事: https://www.helpnetsecurity.com/2024/09/23/open-source-maintainers-security/