オープンソースソフトウェアのセキュリティ強化は、このコミュニティの非公式かつ遍在的な性質を踏まえると、政府にとって大きな課題となっています。
しかしこれは、ソフトウェア全般にわたってセキュリティ・バイ・デザインを推進し、脆弱性の悪用やサプライチェーン・インシデントを減らすという米国政府の取り組みにおける重要な要素です。
RSA Conference 2024は、政府関係者とオープンソースソフトウェアの関係者が、この独自のエコシステムにおいてセキュア・バイ・デザインの原則をどのように前進させるかを議論する機会となりました。
ここでは、オープンソース開発において、実践的かつ協調的な形でセキュリティを前進させるために強調された3つの主要アプローチを紹介します。
政府と連携するための統一されたオープンソースの声を確立する
オープンソースのエコシステムに適用できる適切な規制モデルは現時点では存在しない、とオープンソースのエンドツーエンドのソフトウェア開発プラットフォームであるGitLabのCISO、Josh Lemos氏は述べています。これは、オープンソースプロジェクトが一般的にボランティアによって運営・管理されており、他の人や企業がそのコードを利用した際にセキュリティ問題へ対処する契約上の義務を負っていないためです。
同氏は、政府がオープンソースコミュニティと緊密に協力し、この分野の規制に関する最善の方針を見いださなければ、イノベーションを阻害するといった意図しない結果を招くリスクがあると考えています。
「規制の策定に協調的なアプローチが取られるなら、私たちが求めている保証を得ながら、意味のあるセキュリティ成果が得られる可能性は十分にあると思います」とLemos氏は述べました。
その好例が、現在法制化の最終段階にあるEUのサイバー・レジリエンス法の初期草案でした。
Open Source Security Foundation(OpenSSF)のゼネラルマネージャーであるOmkhar Arasaratnam氏は、同法の初期草案にはオープンソースのエコシステムに深刻な悪影響を与える条項が含まれており、オープンソースの貢献者を商用ソフトウェアの製造者のように扱い、責任を負わせるといった内容だったと指摘しました。
これらの条項は、OpenSSFのようなオープンソース団体からのフィードバックを受け、最終草案では大幅に改善されました。Arasaratnam氏は、オープンソースのセキュリティという課題をめぐって世界各国の政府や立法者と関わる際、この経験から教訓を得ることが重要だと述べました。特に、幅広い視点を得るためにコミュニティを適切に組織化することが重要です。
「私たちはコミュニティのあらゆるセクターから知見を引き出し、広く評価される最小限の共通項を提言していく必要があります」とArasaratnam氏はInfosecurityに語りました。
オープンソースにおけるセキュリティ・バイ・デザインへのインセンティブ付与
オープンソースソフトウェア開発におけるセキュリティ強化の主要な障壁の一つは、Arasaratnam氏が「経済的な不透明性」と呼ぶものです。
これは、メーカーがオープンソースコードを利用することでソフトウェア開発を加速できるという利点がある一方で、現時点ではそれを行う経済的インセンティブがないため、この公開サービスのセキュリティや保守に貢献しないという状況を指します。
「人々は、特にメーカーである場合、自分たちのものとしてソフトウェアをケアする義務があることを必ずしも考慮しません」とArasaratnam氏は述べました。
こうしたインセンティブを生み出す一つの方法は、安全でないオープンソースソフトウェアに対する法的責任を、開発者自身ではなく、そのコードを製品に組み込むメーカーに課すことです。
RSA Conferenceのパネルディスカッションで、GW(ジョージ・ワシントン大学)で国家安全保障、サイバーセキュリティ、対外関係法の実務教授を務めるJonathan Cedarbaum氏は、自動車業界に類似したアプローチを提唱しました。そこでは、自動車メーカーがサードパーティベンダーから車両に組み込んだ部品の安全性について責任を負います。
これにより、サプライチェーン全体でより良いセキュリティ慣行が促進されるはずです。「これは大手ベンダーに対し、購入している部品を精査し、欠陥を見つけ、自ら修正するか修正を要求するという強いインセンティブを与えることになります」とCedarbaum氏は説明しました。
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)の上級技術顧問であるBob Lord氏は、これにはメーカーが、利用するソフトウェアにおいてメモリ安全なプログラミング言語を優先する姿勢を明確にすることも含まれるべきだと述べました。Rustなどがその例です。
AIがオープンソースのセキュリティを強化する方法
RSA Conferenceにおけるもう一つの重要テーマは、AIがオープンソースソフトウェアのセキュリティを大幅に強化し得る機会を提供するという点でした。
これを踏まえ、米国国防総省の機関である国防高等研究計画局(DARPA)はAI Challengeを立ち上げ、AIおよびサイバーセキュリティの専門家に対し、オープンソースを含むソフトウェアコードを自動的に安全化するAI駆動のシステム開発を促しています。
OpenSSFや他のオープンソース団体は、GoogleやMicrosoftといったテック大手とともに、このチャレンジでDARPAと協力しており、コミュニティに利益をもたらすソリューションが開発されるよう支援しています。優勝ソリューションは2025年のDEFCON Conferenceで発表される予定です。
Arasaratnam氏は、この取り組みによって、オープンソース開発者が容易にコードを安全化できる多くの革新的ソリューションが生まれることに期待を寄せています。
「優勝ソリューションはOpenSSFプロジェクトとしてオープンソース化され、その後も私たちが恒久的に運用していきます」と同氏は付け加えました。
Lemos氏も、生成AIツールがオープンソースコードを安全に開発することを容易にするいくつかの方法を強調しました。
一つの方法は、開発者とともにこれらのツールを使ってテストケースを生成することです。「私の仮説では、テストケースを前提としてソフトウェアに落とし込み、開発ライフサイクルを通じて進めることで、より整った、より安全なコードを作れるようになるはずです」と同氏は述べました。
もう一つは、依存関係を分析して、防御が必要なソフトウェアを最小化するためにAIを活用することです。「それらの依存関係が実際に使われるのであれば、パッチ適用が必要な依存関係の数を減らす修正案を提示するのです」とLemos氏は説明しました。
翻訳元: https://www.infosecurity-magazine.com/news/strategies-boost-open-source/
