上院情報委員会の委員長は、外国の敵対勢力がコードを改ざんすることへの懸念を表明した。
上院共和党の有力議員が、米国がオープンソースソフトウェアに依存していることによるサイバーセキュリティ上の影響に対処する計画を求め、トランプ政権に圧力をかけている。
「OSSへの依存を監視しないまま放置すれば、米国はますます危険なリスクにさらされることになります」と、上院情報委員会委員長のトム・コットン議員(共和党・オクラホマ州)は、国家サイバー長官ショーン・ケアンクロス宛ての水曜日付の書簡で記した。
コットン議員は、オープンソースのエコシステムの不安定で、ときに信頼しがたい基盤を浮き彫りにした最近の事例として、XZ Utilsの危機、米軍が機微な用途で使用するパッケージをロシア人開発者が管理していたこと、そして中国企業の従業員によるコード貢献の広がりを挙げた。彼らは、中国の法律に拘束されており、欠陥を修正する前にソフトウェアの脆弱性を北京に開示するよう強制され得る。
「国家が支援するソフトウェア開発者やサイバー諜報グループは、貢献者が善意であることを前提とするこの共同体的な環境を悪用し、広く利用されているオープンソースのコードベースに悪意あるコードを挿入し始めています」とコットン議員は書いた。
コットン議員はケアンクロス長官に対し、「OSSの来歴および外国からの影響についての把握を維持し、敵対国の開発者からの貢献を追跡するための連邦政府の能力を強化する措置を講じる」よう求めた。
国家サイバー長官室(ONCD)は、コットン議員の書簡に関するコメント要請に直ちには応じなかった。ONCDは、ドナルド・トランプ大統領の新たな国家サイバー戦略の策定でホワイトハウスを支援しているが、OSSがその戦略で役割を果たすかどうかは依然として不明だ。
長年の懸念分野
米国の政策立案者は、過重労働のボランティアによって十分に保守されないことも多いオープンソースソフトウェアへの国家の依存について、何年も前から懸念してきた。国家安全保障に注力する議員の中でも最上位層の一人であるコットン議員からの書簡は、政府がオープンソースのエコシステムを強化するために十分なことをしてこなかったのではないかという議会の不安を反映している。
Reactのオープンソースライブラリにおける重大な脆弱性をめぐる最近の騒動は、こうした懸念をさらに強める可能性がある。
バイデン政権下では、国土安全保障省がオープンソースのセキュリティに1,100万ドルを投資することを約束した。当時の国家サイバー長官は、オープンソースコードの主要な利用者である政府にとって、「コミュニティに還元する」ことが「不可欠」だと述べていた。
ONCDが、最優先事項の一つとしてオープンソースのセキュリティに取り組むというバイデン政権時代のコミットメントを維持するかどうかは、依然として不明だ。民間部門からの圧力が決定要因になり得る――テック業界は何年にもわたり、政府に対してオープンソースソフトウェアへの投資水準を業界並みに引き上げるよう促してきた。
翻訳元: https://www.cybersecuritydive.com/news/open-source-security-tom-cotton-letter-white-house/808379/
