吉田顧問第7回

どんなOSSがよく使われているのか?(吉田行男 氏)

OSS

吉田 行男

現代の全ソフトウェアの80%~90%はOSS(オープンソースソフトウェア)で占められており、その中でも最も使用されているOSSや脆弱性の早期情報入手が重要視されています。2014年のOpenSSLのセキュリティ問題を受けて設立されたCIIプロジェクトは、脆弱性対策が難しいOSSの開発コミュニティへの資金的援助を目指しており、6年間で数百万ドルを集めています。CIIプロジェクトはハーバード大学とコラボし、最も使用されている200以上のOSSプロジェクトを特定する方法論を開発しました。これにより、サプライチェーンにおけるOSSの構造とセキュリティの複雑さを理解することで、長期的なセキュリティと健全性の維持が可能となります。

現在、OSSはさまざまなところで活用されています。すべてのソフトウェアの80%から90%は、OSSで占めているという意見もあるようです。

しかしながら、どのOSSが最も使用されているかという情報を知ることはなかなか難しい状況です。その中でも特に脆弱性に関する情報をいち早く入手し、対策することがとても重要で、この重要性はこれまで以上に高まってきていると言っても良いでしょう。

Core Infrastructure Initiative (CII)プロジェクト

2014年に発生したOpenSSLのHeartbleedと呼ばれるセキュリティ問題は、インターネット上のWebサーバの20%にあたる50万台に影響を与え、大量のデータが盗まれました。

この問題を受け、 The Linux FoundationCore Infrastructure Initiative (CII) プロジェクトを立ち上げました。このCIIは、インフラに重要なOSSであるにも関わらず、問題発生時に財政的な問題でタイムリーに対応できないコミュニティに対して、資金的な援助をすることを目的に設立されたプロジェクトで、主要な開発者が開発に集中できるような環境を提供しています。

このようにして設立されたCIIですが、設立以来 6年間でオープンソース セキュリティのために数百万ドルを集めることができています。

最も使用されたOSS プロジェクトを特定する方法論

このCIIと、 ハーバード大学 イノベーションサイエンス研究所 (LISH) は、Vulnerabilities in the Core, Preliminary Report and Census II of Open Source Software(*2) のリリースを発表しました。このレポートでは、Software Composition Analysis (SCAs) および開発者のためのセキュリティ企業 Snyk や Synopsys Cybersecurity Research Center (CyRC) を含むアプリケーション セキュリティ企業と協力し、プライベート使用のデータと公開されているデータセットを組み合わせて、2018年に最も使用された200以上のオープンソース ソフトウェア プロジェクトを特定する方法論を開発しました。このうちの20プロジェクトに関する調査結果と、各プロジェクトの詳細を含む方法論とリストがこのレポートで紹介されています。

このレポートでは、オープンソースが普及しつつもその重要性を理解されているわけではない現代のサプライチェーンにおいて、構造とセキュリティの複雑さを理解し対処するための重要なステップを示しています。

製品アプリケーションに最も一般的に使用されている OSSコンポーネントを特定し、潜在的な脆弱性の調査を行います。
これによりOSSの長期的なセキュリティと健全性を維持するためのアクションを通知できます。
2015年に公開された前回のレポートでは、Debian Linux ディストリビューションのどのパッケージがカーネル オペレーションとセキュリティにとって最もクリティカルであるかを特定しました。

今回のレポートは、あくまでも「速報」で今後さらに研究を進め、OSSの経済的な重要性について正確な推定値を提供することをめざしているようですので、今後の活動にも期待したいと思います。

(*1)本文中記載の会社名、商品名、ロゴは各社の商標、または登録商標です。 

(*2)https://www.coreinfrastructure.org/programs/census-program-ii/

<< 安易な「コピー&ペースト」禁止!(吉田行男 氏)新型コロナウイルスという試練に対するオープンソースの力(吉田行男 氏) >>

関連記事

Webサイト運用の課題解決事例100選 プレゼント

Webサイト運用の課題を弊社プロダクトで解決したお客様にインタビュー取材を行い、100の事例を108ページに及ぶ事例集としてまとめました。

・100事例のWebサイト運用の課題と解決手法、解決後の直接、間接的効果がわかる

・情報通信、 IT、金融、メディア、官公庁、学校などの業種ごとに事例を確認できる

・特集では1社の事例を3ページに渡り背景からシステム構成まで詳解