上院情報委員会のトム・コットン委員長は、外国の敵対勢力がオープンソースソフトウェアに過度に関与する可能性を示唆し、国家サイバー長官にリスクへの対処を求めている。
オクラホマ州選出の共和党議員であるコットン氏は木曜日、国家サイバー長官ショーン・ケアンクロス氏に書簡を送り、懸念していると述べた。報道によれば、「善意の貢献者が前提とされるこの共同の環境を悪用し、国家支援のソフトウェア開発者やサイバー諜報グループが、広く利用されているオープンソースのコードベースに悪意あるコードを挿入し始めている」という。
コットン氏は、昨年、正体不明の国家関与が疑われるハッカー「Jia Tan」が圧縮ユーティリティXZ Utilsのベータ版にバックドアを挿入したとされる件で警鐘が鳴らされたことを挙げた。また、国防総省のソフトウェアパッケージに含まれるオープンソースソフトウェア(OSS)の一部について、ロシア拠点の開発者が唯一のメンテナーであることや、中国のテック企業アリババおよびファーウェイがOSSへの主要な貢献者であるとする指摘にも言及した。
「国家サイバー長官室は、国家サイバー政策の実施の調整と政府全体のサイバーセキュリティに責任を負っており、この横断的な脆弱性に対処するうえで米国政府を主導するのに適した立場にあります」とコットン氏は書いた。「OSSの出所および外国の影響に関する認識を維持し、敵対国の開発者からの貢献を追跡するための連邦政府の能力を強化する措置を講じていただくよう、謹んで要請します。」
コットン氏の書簡は、中国のオープンソース技術への関与がもたらすリスクについて、今年、議会から出ている警告に加わるものだ。これは、下院の対中特別委員会が同件についてバイデン政権時代のジーナ・ライモンド商務長官に送った書簡を受けた流れでもある。オープンソースのサイバーセキュリティ改善を目的とした法案は、主要議員が2023年に提出したものの、上院では前進しなかった。
同議員は、オープンソースソフトウェアが政府および防衛の重要システムの一部であると指摘した。ピート・ヘグセス国防長官は7月、国防総省の最高情報責任者に対し、同省の技術における外国の影響を防ぐための措置を講じるよう命じた。
「国防総省は、任務遂行にリスクをもたらす敵対的な外国の影響を受けやすいハードウェアまたはソフトウェアを調達しない。また、そのような敵対者が、同省が利用する製品およびサービスに悪意ある機能を導入することを防がなければならない」と彼は書いた。
同時に、今年のトランプ政権の大統領令は、オープンソースソフトウェアの重要性を強調していた以前のバイデン政権の大統領令から文言を削除したことで、専門家を困惑させた。
翻訳元: https://cyberscoop.com/tom-cotton-open-source-software-foreign-influence-national-cyber-director/
