オープンソースソフトウェアの脆弱性管理における課題と対策

オープンソース協会開源社

以下の記事は、Cismag が執筆した「Information Security and Communication Confidentiality Magazine」からの抜粋です。

要旨：インターネット時代の到来以来、オープンソースソフトウェアは次世代情報技術の革新的な発展に大きく貢献してきました。しかし、オープンソースソフトウェアの脆弱性の数も継続的に増加しています。オープンソースソフトウェアのオープンで共有された性質により、その影響の範囲と深さは日々拡大しています。オープンソースソフトウェアとクローズドソースソフトウェアの違いを分析することにより、本稿では、オープンソースソフトウェアの脆弱性ガバナンスシステムを確立する必要性について指摘します。オープンソースユーザー、オープンソースコミュニティ、コードホスティングプラットフォームの観点から、セキュリティ意識の欠如、セキュリティリソースへの投資の制限、脆弱性インテリジェンスへのアクセスの悪さなど、オープンソースソフトウェアの脆弱性ガバナンスにおける問題点を明らかにしました。これらの調査結果に基づいて、本稿では、安全な環境の構築、オープンソースプロジェクトの高品質な開発の促進、オープンソースの公共サービスプラットフォームの構築などの対策と提案を提示し、関連研究と実践への参考を提供することを目指しています。

目次：

1. オープンソースソフトウェア脆弱性ガバナンスの背景と現状分析

1.1 オープンソースソフトウェアは急成長を遂げ、広く使用されています。

1.2 私の国のオープンソースコミュニティは遅れてスタートし、追いつく段階にあります。

1.3 脆弱性の数は着実に増加しており、その影響範囲も拡大しています。

2.オープンソースソフトウェアの脆弱性管理の必要性分析

2.1 オープンソースソフトウェアとクローズドソースソフトウェアのセキュリティの違いの分析

2.2 オープンソースとクローズドソースの脆弱性の差異分析

3. オープンソースソフトウェアの脆弱性管理の課題

3.1 オープンソースユーザーのセキュリティ意識の欠如

3.2 安全資源への投資不足

3.3 脆弱性インテリジェンスの取得には情報ギャップが存在します。

3.4 オープンソースコミュニティにおける脆弱性管理の課題

3.5 コードホスティングプラットフォームへの攻撃リスクの増大

4. 我が国のオープンソースソフトウェアにおける脆弱性管理に関する推奨事項

4.1 安全な雰囲気を作る

4.2 オープンソースプロジェクトの高品質な開発の促進

4.3 オープンソースの公共サービスプラットフォームを構築する

4.4 重要な情報インフラのセキュリティガバナンスを実施する

4.5 オープンソースの脆弱性データのセキュリティ保護を強化する

4.6 先端技術の応用を促進する

5 結論

現在、ソフトウェアサプライチェーン攻撃が頻発しています。攻撃者はサプライチェーンにおける上流と下流のパートナー間の信頼関係を悪用し、ソフトウェアの開発、流通、そして利用の様々な段階を標的としています。近年、オープンソースプロジェクトの数が爆発的に増加し、オープンソースソフトウェア（OSS）はグローバルなソフトウェアエコシステムにおいてますます重要性を増しており、攻撃者の主要な標的となっています。2024年2月には、Linux、Unix、その他のシステムで広く使用されているxzファイル処理スイートであるXZ-Utilsに、密かにバックドアが埋め込まれました。早期に検知されなかった場合、攻撃者は多数のサーバーに侵入していた可能性があります。さらに、Apache Log4jなどの重大な脆弱性を含むオープンソースコンポーネントは、直接的または間接的に多数のコンポーネントに依存しており、複雑な依存関係により、その影響はサイバースペース全体に及んでいます。2023年には、Ji ShoulingらがOSSサプライチェーン攻撃の体系的な分析を行い、攻撃段階と種類を検証しました。

現在、米国や欧州などの主要経済国は、オープンソース・エコシステムの安全かつ堅牢な発展を促進するため、OSSセキュリティとサプライチェーンセキュリティを戦略文書に盛り込んでいます。しかし、OSS開発とセキュリティの間には複雑な弁証法的な関係があります。OSSの導入数の増加と適用範囲の拡大に伴い、セキュリティ上の課題はますます深刻化しており、オープンソース・エコシステムのすべての関係者が直面する課題は深刻化しています。

本稿では、OSS脆弱性ガバナンスの必要性の分析から始め、OSS開発に伴う脆弱性管理の問題点を掘り下げ、OSS脆弱性管理の課題を探り、解決策を提案することで、OSS開発の促進とセキュリティ全体の管理効率の向上を目指します。

オープンソースソフトウェア脆弱性ガバナンスの背景と現状の分析

1.1 オープンソースソフトウェアは急成長を遂げ、広く使用されています。

現在、ソフトウェアサプライチェーン攻撃が頻発しています。攻撃者はサプライチェーンにおける上流と下流のパートナー間の信頼関係を悪用し、ソフトウェアの開発、流通、そして利用の様々な段階を標的としています。近年、オープンソースプロジェクトの数が爆発的に増加し、オープンソースソフトウェア（OSS）はグローバルなソフトウェアエコシステムにおいてますます重要性を増しており、攻撃者の主要な標的となっています。2024年2月には、Linux、Unixなどのシステムで.xzファイルの処理に広く使用されているスイートであるXZ-Utilsに、密かにバックドアが埋め込まれました。もし早期に検知されなかった場合、攻撃者は多数のサーバーに侵入していた可能性があります。さらに、Apache Log4jなどのオープンソースコンポーネントには、深刻な脆弱性が含まれており、直接的または間接的な依存関係が多数存在し、複雑な関係性を持つため、サイバー空間全体に広範な影響を与えます。2023年には、Ji ShoulingらがOSSサプライチェーン攻撃を攻撃段階と攻撃種別の観点から体系的に分析しました。

1.2 私の国のオープンソースコミュニティは遅れてスタートし、追いつく段階にあります。

今日、世界的なOSSプロジェクトでは「マシュー効果」が顕著であり、先行プロジェクトは「破壊的リード」を発揮しています。しかし、我が国のOSS開発は依然として国際的な発展に比べて大きく遅れており、国際的に強い影響力を持つ成熟したオープンソースコミュニティはまだ形成されていません。

米国におけるOSSは1990年代に始まり、インターネットの台頭とコンピュータサイエンスの革新と密接に関連しています。LinuxやApacheといった著名なオープンソースプロジェクトの多くは、当初は米国の個人や組織によって開発・維持されていました。オープンソースの理念は米国の大学や企業に急速に浸透し、強力なイノベーション文化を形成しました。一方、中国におけるOSS開発は比較的遅れて始まりました。近年、中国政府と企業がオープンソースへの注力をさらに強化するにつれ、大規模なオープンソースコミュニティが出現しました。

それにもかかわらず、我が国のオープンソースコミュニティにおけるプロジェクトと開発者の数は近年著しく増加しています。ファーウェイ、アリババ、テンセントといった中国の巨大テクノロジー企業はオープンソースプロジェクトを積極的に支援しており、国際的な影響力は依然として向上の余地があります。現在、国内のオープンソースコミュニティは主に国内開発、プロジェクトの推進、国内開発者を中心としたエコシステムの構築に重点を置いています。言語やコミュニケーションの壁を克服し、世界中の開発者をつなぐ架け橋となるための投資が不十分です。オープンソースプロジェクトのドキュメントのほとんどは中国語のみで、保留中のタスクやプルリクエストも主に中国語です。コミュニティと開発者間のコミュニケーションは、主にWeChatグループやWeChat公式アカウントなどの国内ソーシャルネットワークに依存しており、グローバルなチャネルが不足しています。これらの方法では、海外の開発者が中国のオープンソースプロジェクトを理解し、慣れ親しむことができず、我が国のオープンソースコミュニティの国際化をさらに妨げています。

セキュリティ能力構築においても、海外のオープンソース財団は比較的組織体制が整っている。Linux Foundationや、他のベンダーと共同で設立されたOpen Source Software Security Foundation（OSFS）の支援を受け、詳細な業務分担体制を構築し、世界的にセキュリティ能力構築の最前線に立っている。表1に示すように、デジタル署名や言語置換などで成果を上げており、研究は脆弱性の発見と修復に重点を置いている。これに対し、国内の財団は遅れてスタートした。オープンソース財団にとって画期的な進展は、2020年のOpen Atom Foundationの設立まで待たなければならず、その傘下のOpen Source Security Committeeも2022年に設立されたばかりである。そのため、中国の財団はセキュリティ能力構築において依然として遅れをとっており、詳細な作業が未だ行われていない。また、全体の規模は主要な国際オープンソース財団に比べて大幅に小さく、これは中国のオープンソース財団の長期的な発展にとってマイナスとなっている。

表1. オープンソースソフトウェアセキュリティ財団とLinux財団のオープンソースソフトウェアセキュリティ推進計画の内容と投資

1.3 脆弱性の数は着実に増加しており、その影響範囲も拡大しています。

OSSのコード透明性と連携は、イノベーションのための幅広いプラットフォームを提供する一方で、脆弱性の蔓延は、オープンソースソフトウェアのユーザーにとって永続的かつ深刻な課題となっています。現在、OSSの脆弱性は次々と発見され、開発者、ユーザー、そしてオープンソースエコシステムのその他の利害関係者に深刻な損害をもたらしています。

（1）OSSの脆弱性数は依然として高い水準にあります。Synopsysの「2023年オープンソースセキュリティおよびリスク分析レポート」によると、2022年にBlack Duck監査サービスチームは17業種にわたる1,703のコードベースを監査しました。これらのコードベースの84%に少なくとも1つの既知のオープンソース脆弱性が含まれており、「2022年オープンソースセキュリティおよびリスク分析レポート」と比較して約4%増加しています。また、コードベースの48%に高リスクの脆弱性が含まれていました。一方、SnykとLinux Foundationが発表した2022年オープンソースセキュリティ調査レポートによると、アプリケーション開発プロジェクトには平均49の脆弱性と80の直接依存関係があります。さらに、オープンソースプロジェクトにおける脆弱性へのパッチ適用にかかる時間は着実に増加しています。2018年にはセキュリティ脆弱性1件のパッチ適用に平均4日かかっていましたが、2021年には1つの脆弱性へのパッチ適用に約110日かかりました。

（2）OSSの脆弱性の範囲は拡大している。シノプシスの「2023年オープンソースセキュリティおよびリスク分析レポート」によると、2021年に公表された脆弱性の多くが2022年にも依然として存在していることが示されています。例えば、2021年に最も大きな影響を与えたApache Log4j2の脆弱性は、GitHub上の8,600以上のOSSシステムに直接影響を与え、最終的には20万以上のOSSシステムに影響を与えました。世界中の企業のほぼ半数がハッカーの攻撃を受けるリスクにさらされています。しかし、オープンソースプロジェクトの所有者がOSSの最初のパッチ版をリリースしてから1週間後でも、間接的に関連するOSSシステムの80%以上がまだパッチ適用されていませんでした。同時に、Apache Log4j2の脆弱性に基づく新たな亜種が急速に出現しており、今後も存在し続け、被害をもたらす可能性があります。

オープンソースソフトウェアの脆弱性管理の必要性に関する分析

OSSは、クローズドソースソフトウェアと比較して、開発モデルや信頼関係が異なります。脆弱性管理においても、オープンソースとクローズドソースの脆弱性は、その発見、パッチ適用、対応のスピードが異なります。そのため、既存のOSS向け脆弱性管理システムを補完し、クローズドソースの脆弱性とは異なるガバナンス手法を確立する必要があります。

2.1 オープンソースソフトウェアとクローズドソースソフトウェアのセキュリティの違いの分析

2.1.1 モジュール開発には、オープンソースコンポーネントが多数あります。

2.1.2 オープンソースプロジェクトには、多数の開発者とベンダーが関与する複雑な関係があります。

OSSでは、様々なコンポーネントやライブラリが相互に依存し、複雑なネットワークを形成していることがよくあります。この複雑な依存関係ツリーはOSS開発の基盤であると同時に、脆弱性の潜在的な原因にもなります。クローズドソースソフトウェアと比較して、OSSベンダーは世界中の独立した開発者、組織、研究機関で構成されている場合があります。このオープン性により、OSSの依存関係はより分散しており、膨大な数の上流コンポーネント貢献者の検証が必要になります。クローズドソースソフトウェアでは通常、少数のソフトウェア開発会社や組織を管理すれば十分ですが、OSSでは数十、数百、あるいは数千ものプロジェクトとその貢献者を管理する必要があります。そのため、各エンティティがシステム全体のセキュリティに影響を与える可能性があるため、依存関係ツリー全体のセキュリティと信頼性の確保ははるかに複雑になります。

2.2 オープンソースとクローズドソースの脆弱性の差異分析

2.2.1 脆弱性の特定

OSSコードは公開されており、誰でも閲覧・レビューできます。そのため、脆弱性の発見、報告、修正は一般的に容易です。一方、クローズドソースのソフトウェアコードはプロプライエタリであり、外部の担当者が直接閲覧することはできません。そのため、脆弱性の発見と報告はより困難になり、修正プログラムの適用能力はベンダーのセキュリティ能力に大きく依存します。

2.2.2 脆弱性修正の責任

OSSの脆弱性パッチ適用は、複数の関係者間で責任が分散された共同作業です。オープンソースプロジェクトのメンテナーやコントリビューターは、通常、脆弱性報告の受付、分析、パッチの作成、アップデートまたはパッチのリリースなど、脆弱性への対応を行います。OSSユーザーも、安全な利用を確保するための対策を講じる必要があります。多くの場合、脆弱性を積極的に報告し、パッチをテストし、タイムリーなバージョンアップデートを実施します。この分散型の責任体制は、脆弱性パッチ適用プロセスを加速させるのに役立ちますが、一部の脆弱性が見落とされたり、パッチ適用が遅れたりする可能性もあります。一方、クローズドソースソフトウェアはベンダーによって一元管理されているため、脆弱性修正プロセスはより制御可能です。

2.2.3 応答速度

セキュリティインシデントへの対応という点では、OSSは一般的に迅速な対応を提供します。オープンソースのセキュリティインシデントは、その影響範囲が広く、大きな影響を与えることが多く、高い注目を集めます。複数の主要企業と多数のユーザーの協力により、パッチやアップデートを迅速に提供できます。一方、クローズドソースソフトウェアのセキュリティインシデント通知は、ソフトウェアプロバイダーのポリシーとタイムラインに依存しており、インシデント対応もベンダー自身のセキュリティ能力によって制限されます。

オープンソースソフトウェアの脆弱性管理の課題

3.1 オープンソースユーザーのセキュリティ意識の欠如

オープンソースコミュニティの開発者の多くは、機能開発やコードの最適化に重点を置いており、セキュリティへの配慮は比較的低い傾向にあります。その結果、OSSの選択と継続的な運用において、セキュリティ意識の欠如が大きな問題となっています。これは、OSSの脆弱性管理において、バージョンの混乱、メンテナンスの不足、脆弱性の発見とパッチ適用の遅延、セキュリティインシデント発生後の不適切な対応といった結果につながります。

（1）バージョンの混乱とメンテナンス不足。ユーザーのOSSエコシステムには、多数のオープンソースコンポーネントが存在する可能性があり、バージョンの混乱とメンテナンス不足の問題がますます顕著になっています。ユーザーは同じコンポーネントの複数のバージョンを使用することがあり、脆弱性を効果的に管理して更新することが困難になっています。同時に、一部のオープンソースコンポーネントは、メンテナーの不足により長期間パッチが適用されておらず、攻撃を受けるリスクが高まっています。

(2) 脆弱性の発見と修正の遅れ。OSSコンポーネントを選択する際、ユーザーは機能性、性能、コストといった要素を重視し、ソフトウェアセキュリティへの配慮が不十分になりがちです。その結果、ユーザーはリスクの高い脆弱性を含むバージョンやメンテナンスが停止したバージョンを選択してしまい、オープンソースコンポーネントの定期的なチェックと更新を怠ります。その結果、既知の脆弱性が修正されず、セキュリティリスクが増大します。

(3) セキュリティインシデント発生後の対応が不十分。一部のユーザーは、セキュリティインシデント発生後の適切な対応体制を欠いています。緊急時対応計画、訓練、対応訓練の不足により、OSSユーザーは下流ユーザーにタイムリーに通知できず、脆弱性を修正できず、対応策も不十分です。

3.2 安全資源への投資不足

オープンソースコンポーネントの脆弱性をライフサイクル全体にわたって管理するには、ユーザーのアップグレードや交換だけでなく、システムのリファクタリングや互換性の問題にも対応する必要があります。そのため、脆弱性管理には多額の資金とリソースの投資が必要です。しかし、実際には、ソフトウェア開発、テスト、脆弱性対応の各段階に割り当てられるリソースは非常に限られており、次のような具体的な問題が生じています。

(1) 開発段階におけるオープンソースセキュリティ設計の欠如。これは通常、OSSの使用によって生じるセキュリティリスクがソフトウェア開発段階で十分に考慮されていないことを意味し、システム全体のセキュリティを容易に侵害する可能性があります。セキュリティ設計には脅威モデリングも含まれており、潜在的な脅威と攻撃手法を特定し、開発段階で適切なセキュリティ対策を実施するのに役立ちます。脅威モデリングの欠如は、システムが既知および未知のセキュリティ脅威を効果的に防止または軽減できない可能性があることを意味します。

(2) テストと検証の不足。資金が限られている場合、テストと検証のためのリソースが不足する可能性があります。十分なテストリソースが不足すると、脆弱性が特定されない可能性があり、脆弱性へのパッチ適用後もパッチの有効性が完全に検証されない可能性があり、潜在的な問題が発生するリスクが高まります。

(3) 専門的なセキュリティ対応チームの不足。専門的なセキュリティ対応チームの不足は、セキュリティインシデントへの対応が遅れ、脆弱性の重要度と緊急性の正確な評価ができず、修復の優先順位とスピードに影響を与える可能性があります。さらに、オープンソースプロジェクトにおける脆弱性の修正には、複数の開発者や貢献者による協力が求められることが多く、専門人材の不足は協力の難易度を著しく高め、脆弱性修正の効率を著しく低下させます。

3.3 脆弱性インテリジェンスの取得には情報ギャップが存在します。

OSSエコシステムにおいては、国内外のオープンソースコミュニティ、OSS開発者、そしてユーザーの間で、脆弱性情報へのアクセスに関する情報格差が存在します。一部の国では、脆弱性情報を戦略的な資源と捉え、他国との情報共有を躊躇するどころか、意図的に情報格差を生み出すための戦略ツールとして利用することさえあります。そのため、ユーザーがオープンソースコミュニティから有用な脆弱性情報を入手することは困難です。さらに、オープンソースコミュニティの中核を担う個人や組織が情報発信のチャネルや方法を統制・管理しているため、他の個人や組織が脆弱性に関するタイムリーな情報を入手することが困難になっています。その結果、脆弱性がタイムリーに発見・修正されず、ソフトウェアセキュリティリスクが増大しています。

3.4 オープンソースコミュニティにおける脆弱性管理の課題

オープンソースコミュニティは、毎日、数多くのプロジェクトから膨大な数の脆弱性アップデートを受け取っています。そのため、国際的なオープンソースコミュニティは、セキュリティ関連作業を可能な限り自動化し、表2に示すように、脆弱性管理において大きな進歩を遂げてきました。しかしながら、コミュニティは、自動化管理に伴う情報ノイズや技術的側面、アップデートとメンテナンス、コミュニティ参加、法的プライバシーなど、ますます深刻な課題に直面しています。

表2 国際オープンソースコミュニティの脆弱性管理対策

続き表

（2）自動管理の課題。GitHubなどのプラットフォームは脆弱性管理の自動化を促進してきたが、オープンソースコミュニティには、技術、更新と保守、コミュニティ参加、法的およびプライバシーの側面で課題ももたらしている。技術的には、自動化された脆弱性管理には、静的コード解析や動的解析などの高度な技術サポートが必要である。これらの技術は、その正確性と信頼性を確保するために広範な調査とテストを必要とする。更新と保守に関しては、OSSの発展に伴い、新しい種類の脆弱性や攻撃方法が絶えず出現している。自動化システムの有効性を維持するためには、継続的な更新と保守が必要である。さらに、自動化プロセス中に法的およびプライバシーの問題が発生する可能性がある。例えば、静的コード解析には、コードコメントやその他の機密情報が含まれる可能性がある。これらの課題に対処するために、オープンソースコミュニティは、自動化システムを継続的に改善・改良し、コミュニティユーザーとの協力とコミュニケーションを強化する必要がある。

3.5 コードホスティングプラットフォームへの攻撃リスクの増大

コードホスティングプラットフォームは、インフラストラクチャの重要な構成要素であり、機密資産やデータの保管場所です。ソースコードを入手しようと、これらのプラットフォームを標的とする攻撃者が増えています。2014年にGitHubで発生した大規模な分散型サービス拒否攻撃や、2020年に発生したソースコードリポジトリへの侵入などがその例です。これらのインシデントは、コードホスティングプラットフォームが世界中で標的となっているという現実を浮き彫りにしています。そのため、オープンソースコードホスティングプラットフォームのセキュリティは、世界中の開発者やオープンソースコミュニティにとって極めて重要です。

プラットフォームを攻撃すると、そのプラットフォームでホストされているすべてのコードが危険にさらされ、次のような問題が発生する可能性があります。

（2）プロジェクトの正常な運用を妨害する。攻撃者はプロジェクトを改変または悪意のあるコードを挿入する可能性があり、プロジェクトの機能、パフォーマンス、またはセキュリティに深刻な影響を与える可能性があります。また、攻撃者はサービス拒否攻撃を通じてプラットフォームサービスの利用を妨害しようとする可能性があります。これにより、開発者はコードベースにアクセスできなくなり、プロジェクトの開発と保守に悪影響を及ぼします。

(3) 信頼の危機を引き起こす。プラットフォームのセキュリティが侵害されると、ユーザーと開発者のプラットフォームに対する信頼は深刻な打撃を受ける。これは、ユーザーの離脱、プロジェクトの移行、そしてオープンソースコミュニティ全体への信頼の低下につながる可能性がある。たとえ事態が正常に戻ったとしても、開発者や組織によるプラットフォームへの信頼の低下は続き、開発コミュニティにおけるプラットフォームの地位と評判に影響を与えるだろう。

私の国におけるオープンソースソフトウェアの脆弱性管理に関する推奨事項

4.1 安全な雰囲気を作る

安全な環境の構築は、脆弱性管理自体にとって効果的な戦略であるだけでなく、OSSプロジェクトの持続的な発展にとっても不可欠です。セキュリティ文化の促進、セキュリティ意識の強化、そして連携と透明性の促進を通じて、脆弱性の問題への対応を強化し、OSSのセキュリティと安定性を確保することができます。

(1) OSSセキュリティ文化を推進し、ソフトウェアライフサイクルのあらゆる段階にセキュリティを統合する。ブログ、ソーシャルメディア、その他のチャネルを通じてOSSセキュリティの概念を広め、ソフトウェア開発に携わる関係者のセキュリティ意識を高める。

（2）セキュリティ意識の強化とセキュリティ研修・教育の実施。オンライン研修、セミナー、ワークショップなどを通じて、セキュリティに関するベストプラクティスや脆弱性管理の重要性を伝えることで、セキュリティ意識の向上を図る。

（3）各組織内に適切なセキュリティ問題追跡メカニズムを構築し、脆弱性の報告、対応、解決が秩序正しく行われるよう確保する。このメカニズムは、脆弱性の状況をタイムリーに更新し、解決策の進捗状況を追跡し、関連する開発者やコミュニティメンバーにタイムリーに通知できるものでなければならない。

4.2 オープンソースプロジェクトの高品質な開発の促進

4.3 オープンソースの公共サービスプラットフォームを構築する

OSSセキュリティに関する企業のセキュリティ意識の曖昧さ、脆弱性情報の入手の遅れ、技術力不足といった課題を踏まえ、様々な地域や業界のオープンソースセキュリティガバナンスの経験を集約し、パブリックサービスプラットフォームを構築します。このプラットフォームは、企業が包括的なオープンソース資産の特定とリスク評価を実施し、オープンソース技術のセキュリティ管理メカニズムを構築し、セキュリティコストを削減するのを支援します。このプラットフォームは、ソースコードの欠陥に起因するセキュリティ脆弱性を発見し、改善策を提案するための高度なセキュリティテストツールを提供します。さらに、包括的なナレッジベースを構築し、ソフトウェアライフサイクルセキュリティの全プロセスセキュリティナレッジベースを提供します。また、オープンソースコードのセキュリティ評価メカニズムを構築し、一般的なオープンソースコードをテストし、セキュリティテストレポートを提供し、リスクに基づいてブラックリスト、ホワイトリスト、グレーリストに追加することで、ユーザーの選択の参考とすることができます。プラットフォームの概念図を図1に示します。

図1. オープンソース公共サービスプラットフォームの概念

4.4 重要な情報インフラのセキュリティガバナンスを実施する

重要情報インフラ（CS）の運営者は、OSS（サービスOSS）システムに対して特別なガバナンスを実施することが推奨されます。第一に、ソフトウェアコンポーネント分析などの新しいツールを最大限に活用して、重要情報インフラのOSS資産のリストを作成し、オープンソースコンポーネント間の依存関係を明確にしてOSSの利用状況を把握することにより、OSS資産の透明性を高めます。第二に、オープンソースコードの脆弱性の体系的な特定とソフトウェア製品サプライチェーンのセキュリティテストを組織化し、リスクポイントを分類および等級付けすることにより、セキュリティリスクの可視性を向上させます。第三に、包括的なリスク緊急対応計画を策定し、OSSの脆弱性追跡および対応メカニズムを改善して迅速かつ正確な対策を講じることにより、緊急対応メカニズムを確立します。これらの特別なガバナンスの取り組みを通じて、OSSセキュリティリスクを周知し、制御および予防できるようにします。

4.5 オープンソースの脆弱性データのセキュリティ保護を強化する

OSSの脆弱性管理と並行して、OSS資産と脆弱性データのセキュリティ保護も実施する必要があります。データ分類と階層管理の現状において、オープンソース資産インベントリと脆弱性データは、企業がOSS資産を特定・維持するための重要なツールであり、階層分類管理システムに組み込む必要があります。同時に、保管、安全なアクセスと伝送、そして日常的なメンテナンスという3つの側面で対策を講じる必要があります。保管に関しては、第一に、不正アクセスやデータ漏洩を防ぐためにデータを暗号化する必要があります。第二に、高度な暗号化アルゴリズムを用いて記憶媒体上のデータセキュリティを確保する必要があります。安全なアクセスと伝送に関しては、第一に、アクセス権限に関する厳格な管理ポリシーを実施し、権限のある担当者のみが脆弱性データを閲覧・変更できるようにする必要があります。第二に、漏洩データの機密性と完全性を確保するために、安全な伝送プロトコルを用いてデータ伝送を暗号化し、中間者攻撃やデータ窃盗を防ぐ必要があります。日常的なメンテナンスに関しては、第一に、潜在的なセキュリティ問題を迅速に特定し、適切な是正措置を講じるために、定期的な監査を実施する必要があります。次に、データの損失や破損を防ぐために、定期的にバックアップを実行する必要があります。

4.6 先端技術の応用を促進する

先進技術を総合的に応用し、脆弱性の発見とインシデント対応の効率性を向上させるために、まず、静的および動的コード分析ツールを使用してソースコードを総合的にレビューし、潜在的な脆弱性を迅速に特定し、セキュリティインシデントの発生を事前に防止することをお勧めします。次に、ソフトウェア構成分析ツールを使用してソフトウェアのオープンソースコンポーネント分析を実行し、正確で完全な SBOM を生成し、ソフトウェア内のすべてのオープンソースコンポーネントを追跡および記録し、各コンポーネントのバージョン、ソース、ライセンス、およびセキュリティを把握します。最後に、脆弱性の追跡および処理プラットフォームを構築し、脆弱性インテリジェンスを取得する際に、SBOM とソフトウェア構成分析ツールを脅威インテリジェンスの早期警告と組み合わせて使用して、脆弱性を迅速に特定して分析します。

应用上述先进技术，有助于组织更全面地对软件供应链风险进行管理。开源成分分析提供了开源组件的详细信息，自动化的漏洞溯源和处置则提供了对已知漏洞风险的定期检测评估，共同促进了组织更有效地管理其软件资产，及时响应安全威胁。

結論

OSS 漏洞管理对我国OSS 的发展与安全具有极其重要的意义，本文深入探讨了OSS 漏洞管理面临的风险挑战，并提出了一系列应对措施，旨在加强对漏洞的监测、预防和修复。在未来，我们将继续关注OSS 漏洞管理的进展，努力为OSS 的健康有序发展提供坚实的安全基石。

引用格式：赵相楠, 杨文钰, 李昊燕, 等. 开源软件漏洞治理的挑战与对策建议[J]. 信息安全与通信保密,2024(5):80-90.

著者について

赵相楠，男，硕士，工程师，主要研究方向为网络安全防护体系及攻防技术、软件供应链安全等；

杨文钰，女，硕士，工程师，主要研究方向为开源软件安全、软件供应链安全；

李昊燕，女，博士，工程师，主要研究方向为开源软件漏洞管理、供应链安全管理；

何佩，女，学士，工程师，主要研究方向为信息安全、开源软件安全；

阿合买提·雨三，男，学士，工程师，主要研究方向为软件供应链安全、网络安全、Web 安全、内网安全。

选自《信息安全与通信保密》2024年第5期（为便于排版，已省去原文参考文献）

转载自丨信息安全与通信保密杂志社

作者丨Cismag

編集者：王玄

関連資料

オープンソースソフトウェアを利用する金融機関の潜在的リスクと対策

オープンソースにコードを提供する意欲があるのは良いことですが、まずこれらの問題に注意を払う必要があります。

オープンソース協会の紹介

2014年に設立されたオープンソース協会（KAIYUANSHE）は、オープンソースの理念に献身的に貢献する個々のボランティアで構成されるオープンソースコミュニティであり、「貢献、合意、そして共同統治」の原則に基づき活動しています。KAIYUANSHEは、「ベンダー中立性、公益性、非営利性」の原則を堅持し、「中国を拠点とし、世界に貢献し、新時代のライフスタイルとしてオープンソースを推進する」というビジョンを掲げています。その使命は「オープンソースのガバナンス、国際的な連携、コミュニティの発展、そしてプロジェクトのインキュベーション」であり、健全で持続可能なオープンソースエコシステムの共創を目指しています。

オープンソース協会は、オープンソースを支援するコミュニティ、大学、企業、政府機関と積極的に連携しています。また、世界的なオープンソースライセンス認証組織であるOSIの中国初の会員でもあります。

2016年以降、中国オープンソースカンファレンス（COSCon）が毎年開催され、「中国オープンソース年次報告書」が継続的に発表されています。また、「中国オープンソースパイオニアリスト」と「中国オープンソースコードパワーリスト」も共同で立ち上げ、国内外で幅広い影響力を発揮しています。

618ZXW

オープンソースソフトウェアの脆弱性管理における課題と対策

関連するおすすめ記事

ランダムにおすすめされた記事

人気のタグ