現在、OSSはさまざまなところで活用されています。すべてのソフトウェアの80%から90%は、OSSで占めているという意見もあるようです。
しかしながら、どのOSSが最も使用されているかという情報を知ることはなかなか難しい状況です。その中でも特に脆弱性に関する情報をいち早く入手し、対策することがとても重要で、この重要性はこれまで以上に高まってきていると言っても良いでしょう。
Core Infrastructure Initiative (CII)プロジェクト
2014年に発生したOpenSSLのHeartbleedと呼ばれるセキュリティ問題は、インターネット上のWebサーバの20%にあたる50万台に影響を与え、大量のデータが盗まれました。
この問題を受け、 The Linux Foundation は Core Infrastructure Initiative (CII) プロジェクトを立ち上げました。このCIIは、インフラに重要なOSSであるにも関わらず、問題発生時に財政的な問題でタイムリーに対応できないコミュニティに対して、資金的な援助をすることを目的に設立されたプロジェクトで、主要な開発者が開発に集中できるような環境を提供しています。
このようにして設立されたCIIですが、設立以来 6年間でオープンソース セキュリティのために数百万ドルを集めることができています。
最も使用されたOSS プロジェクトを特定する方法論
このCIIと、 ハーバード大学 イノベーションサイエンス研究所 (LISH) は、Vulnerabilities in the Core, Preliminary Report and Census II of Open Source Software(*2) のリリースを発表しました。このレポートでは、Software Composition Analysis (SCAs) および開発者のためのセキュリティ企業 Snyk や Synopsys Cybersecurity Research Center (CyRC) を含むアプリケーション セキュリティ企業と協力し、プライベート使用のデータと公開されているデータセットを組み合わせて、2018年に最も使用された200以上のオープンソース ソフトウェア プロジェクトを特定する方法論を開発しました。このうちの20プロジェクトに関する調査結果と、各プロジェクトの詳細を含む方法論とリストがこのレポートで紹介されています。
このレポートでは、オープンソースが普及しつつもその重要性を理解されているわけではない現代のサプライチェーンにおいて、構造とセキュリティの複雑さを理解し対処するための重要なステップを示しています。
製品アプリケーションに最も一般的に使用されている OSSコンポーネントを特定し、潜在的な脆弱性の調査を行います。
これによりOSSの長期的なセキュリティと健全性を維持するためのアクションを通知できます。
2015年に公開された前回のレポートでは、Debian Linux ディストリビューションのどのパッケージがカーネル オペレーションとセキュリティにとって最もクリティカルであるかを特定しました。
今回のレポートは、あくまでも「速報」で今後さらに研究を進め、OSSの経済的な重要性について正確な推定値を提供することをめざしているようですので、今後の活動にも期待したいと思います。
(*1)本文中記載の会社名、商品名、ロゴは各社の商標、または登録商標です。
(*2)https://www.coreinfrastructure.org/programs/census-program-ii/
