オープンソースソフトウェア(OSS)セキュリティへの高まる懸念
米上院情報委員会のトム・コットン委員長(共和党、オクラホマ州)は、
米国がオープンソースソフトウェア(OSS)への依存を監視せず放置していることが、ますます危険なリスクにさらしているとの懸念を表明しました。
同氏はショーン・ケアーンクロス国家サイバー局長に対し、OSSのセキュリティ対策を優先するよう求める書簡を送付しました。
具体的なリスクと脅威の指摘
コットン委員長は、OSSエコシステムの不安定性や信頼性の低さを浮き彫りにした最近の事例をいくつか挙げ、その危険性を強調しました。
- XZ Utilsの危機:OSSサプライチェーン攻撃の顕著な例。
- ロシア人開発者による米軍使用パッケージの管理:機密性の高い用途で米軍が使用するパッケージが、敵対国の開発者によって管理されている状況。
- 中国企業従業員によるコード貢献:中国の法律により、従業員がソフトウェアの欠陥を修正する前に中国政府に開示することを強制される可能性への懸念。
委員長は、「国家支援のソフトウェア開発者やサイバースパイ集団は、貢献者が善意であると仮定するこの共同環境を悪用し、広く使われているオープンソースコードベースに悪意のあるコードを挿入し始めている」と述べ、現状に警鐘を鳴らしています。
政府への要求と今後の方向性
コットン委員長はケアーンクロス局長に対し、連邦政府がOSSの出所や外国からの影響を認識し、敵対国の開発者からの貢献を追跡する能力を構築するための措置を講じるよう求めました。
国家サイバー局(ONCD)は、この書簡に対するコメントを即座には出していませんが、トランプ大統領の新たな国家サイバー戦略の策定を支援しており、OSSがその戦略でどのような役割を果たすかはまだ不明です。
バイデン政権下では、国土安全保障省がOSSセキュリティに1,100万ドルを投資することを約束し、当時の国家サイバー局長は、政府がOSSコードの主要な利用者として「コミュニティに還元する」ことが「不可欠」であると考えていると述べていました。
長年の懸念と業界の動向
米国の政策立案者たちは、何年もの間、過重労働のボランティアによって維持管理されていることが多いオープンソースソフトウェアへの国の依存について懸念を抱いてきました。コットン委員長からの書簡は、政府がOSSエコシステムを強化するために十分な対策を講じていないという議会の懸念を反映しています。
最近、Reactオープンソースライブラリにおける重大な脆弱性を巡る騒動も、これらの懸念をさらに高める可能性があります。
ONCDがバイデン時代のOSSセキュリティへのコミットメントを最優先事項として維持するかどうかは不明ですが、民間部門からの圧力も決定要因となる可能性があります。テクノロジー業界は長年、政府に対し、OSSへの投資レベルを業界に合わせるよう働きかけてきました。
元記事: https://www.cybersecuritydive.com/news/open-source-security-tom-cotton-letter-white-house/808379/