米国連邦Cybersecurity & Infrastructure Security Agency (CISA)最近、オープンソース ソフトウェア (OSS) のセキュリティを強化するための包括的な戦略を導入しました。この取り組みは、サイバーセキュリティの重要性を取り上げ、その強化に向けた措置を示唆した2021年5月のジョー・バイデン大統領の大統領令に対する重要な対応である。この命令以来、これらのサイバーセキュリティ目標を達成するための効果的なガイドラインを企業に提供するという大きな動きがありました。
新たに発表されたロードマップは、これらのサイバーセキュリティ対策を強化するためのCISAの回答であり、特に OSS の安全性に焦点を当てています。
同庁は、イノベーションの促進とソフトウェア開発プロセスの促進における OSS の大きな可能性を認識しており、連邦政府内外の両方でその安全な実装と開発を可能にしようと努めています。
このロードマップでは、オープンソース ソフトウェアに関連する 2 つの主要なタイプの影響を概説しています。 1 つは、広く使用されている OSS の脆弱性の潜在的な波及効果です。Log4Shell インシデントに代表されるように、OSS の侵害後に広範な悪影響が観察されました。 2 番目のタイプには、OSS リポジトリのサプライ チェーンに対する攻撃が含まれます。これにより、開発者のアカウントが侵害され、攻撃者が悪意のあるコードを埋め込むことが可能になるなど、下流に有害な影響が生じる可能性があります。
この戦略では、オープンソース セキュリティにおけるCISAの支援的役割の定義、OSS に関連する利用とリスクの可視性の向上、連邦政府へのリスクの軽減、オープンソース エコシステムの強化など、4 つの主要な優先事項を定めています。
CISA 、これらの措置がオープンソース ソフトウェアの想定する展望に貢献すると信じています。同庁は、堅牢で多様かつダイナミックなコミュニティに支えられた、安全であるだけでなく持続可能で回復力のある OSS エコシステムを構想しています。
サプライ チェーン セキュリティ企業である Chainguard の CEO 兼共同創設者である Dan Lorenc 氏も、この意見に同調します。同氏はCISAこの分野の課題を詳細に分類し、その解決に優先順位を付けていることを称賛した。同氏は、この作業は「上流」で行われる必要があり、職員は関連コミュニティと直接関わるべきであるというCISAの認識を高く評価している。同氏はこの点の実施に関して若干の不確実性を表明したものの、楽観的な見方を維持している。
Lorenc 氏は、政府はオープンソース プロジェクトへの資金提供を検討すべきだと提案していますが、これは現在ロードマップで取り上げられていないことです。これらのプロジェクトを財政的に支援する政府の能力は、メモリの安全性の強化、脆弱性の解決、SBOM ツールの改善などの目標を大幅に促進する可能性があります。
ローレンク氏はまた、政府の協力モデルは受動的な管理を超えて、これらの措置の改善に積極的に貢献すべきであると述べた。
AppMasterなどのプラットフォームは、堅牢なセキュリティ、柔軟性、最高級のユーザー エクスペリエンスを兼ね備えたオープン ソース ソフトウェアに大きく依存しています。彼らも同様の懸念を表明しており、このロードマップが成功裏に実施されることを期待しています。
