オープンソース協会開源社

以下の記事は、Mulan が執筆した、Mulan オープンソース コミュニティからのものです。

オープンソースソフトウェアXZに最近発見されたバックドアは、サイバーセキュリティコミュニティに大きな混乱を引き起こしました。研究者たちは、Red HatやDebianを含む複数の主要Linuxディストリビューションの圧縮ツールに、悪意のあるコードが密かに埋め込まれていたことを発見しました。これにより、攻撃者は有効なアカウントを持っていなくても、SSHD（SSH接続を担う重要なバイナリファイル）を介してシステムにアクセスできるようになりました。

研究者たちは、さらに詳細な分析を行った結果、この「バックドア」インシデントは典型的なソフトウェアサプライチェーンポイズニングインシデントであると考えています。悪意のあるコードは、TukaaniプロジェクトのメンテナーであるJia Tan氏（JiaT75）によって、複数回のコード変更を通じて埋め込まれました。Jia Tan氏は3年近くにわたり、XZプロジェクトに高品質なコードを提供し続け、最終的にコミット権限とメンテナンス権限を獲得していました。

偶然にも、2023年11月28日、Suspenseful Supply Chain Security Labは、公式PyPIリポジトリ（https://pypi.org）において、HTTPおよびSOCKS5プロキシSDKを装ったオープンソースコンポーネントのポイズニングインシデントを2件検出しました。Python開発者がこれらのポイズニングされたPyパッケージ（libproxy、libsocks5）をダウンロードしてインストールすると、Pyパッケージ内の悪意のあるコードが実行され、最終的には開発者のシステムに悪意のあるバックドアが埋め込まれることになります。

01 ZTEコーポレーションのオープンソースおよび標準担当ディレクター、Li Xiang氏

オープンソースソフトウェアのポイズニングは比較的まれですが、その有害性は大きく、企業がオープンソースソフトウェアを使用して製品を開発する際には、注意を払い、回避しなければならないリスクとなっています。オープンソースソフトウェアのポイズニングは、主に以下の種類に分類できます。

1. 汚染は、GitHubなどのコードホスティングサイトでプライベートブランチをフォークし、問題のあるコードをマージすることで発生します。オープンソースソフトウェアを入手する際にソースコードを慎重に確認せず、公式ブランチだと誤解すると、汚染されたコードが混入してしまう可能性があります。

2. 正規版に悪意のあるコードを組み込んだ後、ソフトウェアが作成され、一般的なパッケージマネージャーまたは非公式のダウンロードサイトに配置されます。オープンソースソフトウェアの成果物を入手する際に注意を怠ると、このマルウェアの被害に遭う可能性があります。

3. オープンソースコミュニティの信頼を得た後、正式なオープンソースソフトウェア貢献プロセスを通じて、悪意のあるコードを公式ブランチにマージします。これは、最も巧妙で、最も有害でありながら、最も困難なポイズニング手法です。

これらの問題に対処するために、企業は2つの方法で予防策を講じる必要があると私は考えています。1つ目は、オープンソースソフトウェアの選択と導入を厳密に管理すること、2つ目は、SBOM（Simplified Business Object Model）を使用してオープンソースソフトウェアの明確なトレーサビリティを確保し、製品からオープンソースソフトウェア汚染のリスクが排除されていることを顧客に示すことです。

オープンソースソフトウェアを選択して導入する際には、導入者はソフトウェアが公式にリリースされたバージョンであることを確認し、コードと成果物のダウンロードアドレスが公式サイトからのものか、一般的なパッケージ管理ツール（Maven、pipなど）からダウンロードされたものかを確認する必要があります。さらに、導入後は、将来の追跡可能性を確保するために、導入したオープンソースソフトウェアに関するすべての情報を社内データベースに記録する必要があります。導入時のこのレビュープロセスにより、最初の2種類のマルウェア攻撃に対処できます。3番目の種類のマルウェア攻撃については、セキュリティ上の脆弱性に対処する必要がある場合を除き、一定期間リリースされている安定したオープンソースソフトウェアバージョンを優先することをお勧めします。これにより、コミュニティがそのようなマルウェア攻撃を検出する時間を確保し、感染の可能性を最小限に抑えることができます。

2023年、ZTEコーポレーションは中国電子技術標準化研究所と共同で、「情報技術オープンソースガバナンス パート2：企業ガバナンス評価モデル」というグループ標準を策定しました。この標準は、企業がオープンソースソフトウェアを導入する際に遵守すべき選定基準と導入基準を明確に定義しています。企業はこの標準を活用することで、独自のオープンソースソフトウェア導入プロセスを構築し、悪意のあるソフトウェアの侵入を最小限に抑えることができます。

企業は社内の能力を強化すると同時に、顧客の懸念を軽減するために、自社製品におけるオープンソースソフトウェアのポイズニングリスクを排除していることを対外的に実証する必要があります。そのためには、製品に使用されているオープンソースソフトウェアに関する基本情報、特にその出所を顧客に提供する必要があります。まさにこの情報こそが、ソフトウェア部品表（SBOM）に含まれています。SBOMはソフトウェアサプライチェーンの重要な構成要素であり、ソフトウェアコンポーネントとそれに関連するメタデータを構造的に識別・追跡する方法を提供します。ソフトウェア開発においては、SBOMはすべてのコンポーネントが正確に識別・記録されることを保証し、ソフトウェアサプライチェーン全体の透明性とトレーサビリティを向上させます。SBOMの中で最も重要なトレーサビリティ関連情報には、ダウンロードアドレスとハッシュ値が含まれます。これら2つのパラメータは、オープンソースソフトウェアのバージョンコードと成果物のソースを一意に識別します。現在、オープンソースソフトウェアのサプライチェーン情報を明確に定義するために、製品リリースに対応するSBOMを添付する企業が増えています。 SBOMのフォーマットと内容を標準化するため、中国電子標準化機構（CESI）は「情報技術オープンソースソフトウェア部品表データフォーマット仕様」規格の策定を主導しており、ZTEは積極的に参加し、貢献してきました。この規格のリリース後、企業が公開するSBOMの内容とフォーマットの指針として活用することができ、国内ソフトウェア産業のサプライチェーンの健全性とセキュリティを確保するための強固な基盤と強力な保証を提供します。

02 陳超、OpenSCAのテクニカルディレクター、吊り下げミラーの安全性を専門とする

今日私たちが利用するソフトウェアの大部分は、オープンソースコードとサードパーティ製コンポーネントに依存しており、これらのコンポーネントは他のオープンソースコードやコンポーネントを参照することで、依存関係がますます複雑化しています。ソフトウェアサプライチェーンの段階や参加者が増えるにつれて、攻撃者の攻撃ポイントも増加します。例えば、この記事で解説した「バックドア」埋め込み事件は、サプライチェーンポイズニング攻撃の典型的な例です。攻撃者は、コードリポジトリのポイズニングに加え、開発者の開発ツール、CI/CDパイプライン、上流のアーティファクトリポジトリも標的とする可能性があります。攻撃対象領域は、コードリポジトリ、アーティファクトリポジトリ、開発者アカウント、パイプラインプラットフォームなど、多岐にわたるため、防御の難易度は著しく高まります。そのため、サプライチェーンセキュリティは、企業、さらには国家にとって重要な懸念事項となっています。

サプライチェーンのセキュリティガバナンスは、技術的な問題にとどまらず、人材、プロセス、ナレッジベース構築など、多角的な視点からの包括的な検討が必要です。技術的な観点からは、現在市場にある製品や技術に基づき、「明確な可視性」、「効果的なコミュニケーション」、「適切な予防」を実現するためのサプライチェーンセキュリティガバナンス構築に関する洞察と提案を提供できます。

まず、「明確な可視性」とは、本質的には台帳を構築することを意味します。SBOM（簡体字中国語サプライチェーンフォーマット）は優れたツールです。ソフトウェアの各段階におけるコンポーネントと依存関係を記録することで、迅速な問題特定と、後になって問題が発見された際の緊急対応を容易にします。SBOMは、商用ツールまたはオープンソースツールを用いて生成できます。現在、SBOMフォーマットは主に国際標準に準拠しています。ボトルネックとなっている技術に対処するため、Mirror Securityは2023年に中国初のデジタルサプライチェーンSBOMフォーマットであるDSDXを正式にリリースしました。詳細は、 「中国初のデジタルサプライチェーンSBOMフォーマット：DSDXが注目される理由」をご覧ください。

第二に、「聞くことができる」とは、サプライチェーンセキュリティインテリジェンスの安定的かつタイムリーな情報源を持つことを意味します。これは、脆弱性情報が広まる前に情報を入手し、SBOM（サイトベースオブジェクトモデル）を用いて脆弱性の影響範囲と対策の優先順位を迅速に判断することを意味します。サプライチェーンセキュリティインテリジェンスは、脆弱性インテリジェンスに加えて、悪意のあるポイズニング（バックドア、トロイの木馬、暗号通貨マイニングなど）、ライセンス変更情報（最近のRedisライセンス変更など）、コンポーネント運用リスク警告（コンポーネントのメンテナンス停止やメンテナンスリスクなど）に関する情報も提供する必要があります。さらに、緊急かつ検証済みの脆弱性については、リスクアクセシビリティ分析インテリジェンスを提供することで、企業が自社の状況に応じてリスクレベルを調整できるように支援することも必要です。

最後に、「効果的な予防」という側面があります。ここでの「効果的」とは、効果的な保護だけでなく、シンプルさと直接性、つまり関係者の最小限の人数と緊急対応プロセスの迅速化も意味します。RASPはこの点で優れた技術です。WAFのようなトラフィック特性を通じて悪意のあるリクエストをフィルタリングし、コードを詳細に分析してリスクの高い機能を強化し、デフォルトのポリシーによってほとんどのエクスプロイトの試みを防御できます。

要約すると、SCA + SBOMを用いてソフトウェア資産台帳を整理・記録し、サプライチェーン・セキュリティ・インテリジェンスとリスクインシデント対応のためのRASPを組み合わせることを意味します。もちろん、これはあくまでも一般的な方向性に過ぎません。サプライチェーンのあらゆるリンクがハッカーの侵入口となる可能性があります。ソフトウェアサプライチェーンのあらゆるリンクを監視・保護することは、長く困難なプロセスです。こうした作業の一部はセキュリティベンダーが対応できる場合もありますが、企業はリスク予防を社内に定着させるためのプロセス、システム、トレーニングを通じて、開発チームと運用チームの総合的な能力を向上させる必要があります。

中国乗用車協会（CPCA）が8月8日に発表した月次データによると、7月の全国乗用車市場小売販売台数は172万台に達した。このうち、従来型ガソリン車は84万台で前年同月比26%減、新エネルギー乗用車は87万8000台で前年同月比36.9%増、市場浸透率は51.1%だった。中国で新エネルギー乗用車の月間小売販売台数がガソリン乗用車のそれを上回ったのは初めてであり、これは新エネルギー車が市場の主流になりつつあることを示している。10年にわたる努力を経て、わが国の新エネルギー車産業はついにせせらぎから大河へと成長した。

現在、新エネルギー車のコード量は1億行に達する可能性があります。この数字は、新エネルギー車のソフトウェアの複雑さとインテリジェントレベルを反映しています。これらのコードは、ブレーキシステム、パワートレイン、ボディ、シャーシなど、車両に関連するすべての部品を制御します。このため、Mulanオープンソースコミュニティは、OpenSDV自動車ソフトウェアオープンソースアライアンスと協力し、中国の自動車産業のソフトウェアサプライチェーンに関する特別な協議と調査を実施しました。

01 長安汽車のハードウェアプラットフォームソフトウェアの副主任エンジニアであるウェン・ヤン氏、長安テクノロジーの技術計画エンジニアである謝星氏

現在、自動車メーカーはソフトウェア部品の堅牢なサプライチェーンシステムの構築を重視しており、長安科技はソフトウェアサプライチェーンのリスクに細心の注意を払ってきました。自動車メーカーの視点では、リスクは通常、車両実装の初期段階から考慮され、コックピットシステムの基盤となるカーネルにおけるCVE（Content Vessel Effects：コンテンツ・ベッセル効果）の動的監視から内部プロセスの最適化に至るまで、プロアクティブな防御プロセスが採用されています。さらに、長期的な技術開発の観点から、長安科技はオープンソースソフトウェアの適用に関して、主に以下の点に配慮しています。

まず、オープンソース ソフトウェアまたはコンポーネントのソースはライセンスされており、ライセンスに従って使用されている必要があります。

第二に、オープンソースソフトウェアの所有権に関しては、リスクと代替ソリューションも検討されます。

最後に、新たに追加されたコードの機能安全性と情報セキュリティに関しては、厳格なコードスキャンと監査を実施し、全体的なリスクを可能な限り最小限に抑えます。

高リスクの脆弱性に関与するモジュールを可能な限り回避することに加え、製品ライフサイクル全体を通して動的な追跡が不可欠です。SBOM/CVEの構築から企業内のCICDまで、すべてがセキュリティに配慮されている必要があります。技術的な手段を用いて管理プロセスを綿密に監視し、標準化することは、自動車関連テクノロジー企業が目指してきた方向性です。

02 ソフトセキュリティテクノロジー株式会社 副社長 ヤン・グオリャン

ソフトウェアサプライチェーンセキュリティの分野において、最も厄介な問題は間違いなく「ポイズニング」または「バックドア」であり、特にXZ事件のように、信頼関係が構築された上で「秘密攻撃」が行われるようなケースは深刻です。これらは本質的に単なる「関数」であるため、効率的な自動検出技術を用いて分析・フィルタリングすることは不可能であり、検出が最も困難です。一方で、多数のオープンソースソフトウェアに潜むこれらのポイズニングリスクを調査するために時間を費やすことは、企業ユーザーにとって非常に低収益な取り組みのように思われますが、それがもたらす深刻な結果を無視することはできません。

このジレンマに直面している企業にとって、より現実的な提案は、ソフトウェアコンポーネント分析（SCA）ツールを用いて、ソフトウェア開発プロセスの複数の段階におけるリスクの露出期間を短縮することです。SCAツールは、企業が開発プロジェクトのソフトウェアコンポーネントをリアルタイムで分析するのに役立ちます。分析された現在使用されているオープンソースコンポーネントから「汚染された」オープンソースコンポーネントを特定することは、脅威インテリジェンスと組み合わせることで、より容易で統合された自動化されたプロセスとなります。同時に、脅威インテリジェンス分析に基づいてSCAが提供する緩和策の推奨事項は、企業がセキュリティリスク（またはインシデント対応）に対処する上で不可欠な「ラストマイル」となります。

さらに、オープンソース プロジェクト、コミュニティ、および企業ユーザー間の信頼の架け橋を共同で維持するために、成熟したオープンソース プロジェクト管理とコミュニティ、またはオープンソース プロジェクト マネージャー自身が、提出された各アプリケーションのコード レビューを可能な限り「ゼロ トラスト」の原則に基づいて実施することをお勧めします。

03 上海安市情報技術有限公司 テクニカルマーケティングディレクター 王鋒

自動車業界には、部品メーカーから Tier 1 サプライヤー、Tier 2 サプライヤーから OEM 自動車メーカーまで、明確なサプライ チェーンがあり、ソフトウェア サプライ チェーンのセキュリティとコンプライアンスのガバナンスはより複雑になっています。

業界発展の観点から見ると、新エネルギー車メーカー、特に欧州、米国、日本、韓国への輸出入量が多いメーカーは、堅牢なソフトウェアサプライチェーンセキュリティガバナンスの要求をますます強めています。SCAツール、研究開発プロセス、OSPO（Software as a Service）文書を網羅したシステムを段階的に構築し、下流サプライヤーへの要件も強化しています。フォーマットされたSBOMの出力とバイナリスキャンによるスキャンも行われています。しかし、自動車業界のこの分野における能力は、インターネットやハイエンド製造業に比べて依然として遅れており、事後対応型のガバナンスに頼るケースが多く見られます。自動車業界は、オープンソースのセキュリティとコンプライアンスに対する意識を高める必要があります。海外の規制強化に伴い、自動車業界は「グローバル展開」戦略を実現するために、この分野における能力を迅速に強化する必要があります。AIGC（AI Generic Code）の大規模な適用により、自動車業界におけるAI技術の広範な活用は大きなトレンドとなっています。そのため、AI BOM（AI Bill of Materials）は、私たちが早急に取り組むべきもう一つの技術的および法的課題です。

04 Tang Chen、ソリューション エキスパート、Suzhou Prism Colorful Information Technology Co., Ltd.

自動車業界におけるガバナンスに関する経験に基づくと、自動車業界ではオープンソースガバナンスとソフトウェアサプライチェーンセキュリティの取り組みが徐々に進展し、模索されています。テクノロジーや金融などの他のセクターと比較すると、取り組みの開始は遅く、主に輸出コンプライアンスと情報セキュリティ要件に重点を置く必要があります。これには、人材、システム、ツールの面での取り組みが必要です。

現在、自動車ソフトウェアのコード量は驚異的な1億行に達し、その数は急速に増加しています。これはソフトウェアの複雑さが増すだけでなく、潜在的なリスクも増大していることを意味します。オープンソースソフトウェアは様々な形で導入されているため、リスク管理と追跡が非常に困難になっています。さらに、問題が発生した場合には、緊急対応のスピードを加速させる必要があります。

今必要なのは、人、システム、ツールに焦点を当てたオープンソースガバナンスシステムを構築することです。チーム全員がオープンソースの重要性を理解し、オープンソースコンポーネントの導入、利用、撤回がすべて規制されるよう、標準化されたプロセスを確立する必要があります。次に、セキュリティ上の脆弱性を効率的に特定し、リスクを追跡するための自動化ツールの導入が必要です。

転載元：Mulanオープンソースコミュニティ

編集：王俊

関連資料

オープンソースの大型モデルLlamaは技術的な優位性を失うのでしょうか?

小さなモデルとオープンソースは、AI 開発における変数になりつつあります。

オープンソース協会の紹介

2014年に設立されたオープンソース協会（KAIYUANSHE）は、オープンソースの理念に献身的に貢献する個々のボランティアで構成されるオープンソースコミュニティであり、「貢献、合意、そして共同統治」の原則に基づき活動しています。KAIYUANSHEは、「ベンダー中立性、公益性、非営利性」の原則を堅持し、「中国を拠点とし、世界に貢献し、新時代のライフスタイルとしてオープンソースを推進する」というビジョンを掲げています。その使命は「オープンソースのガバナンス、国際的な連携、コミュニティの発展、そしてプロジェクトのインキュベーション」であり、健全で持続可能なオープンソースエコシステムの共創を目指しています。

オープンソース協会は、オープンソースを支援するコミュニティ、大学、企業、政府機関と積極的に連携しています。また、世界的なオープンソースライセンス認証組織であるOSIの中国初の会員でもあります。

2016年以降、中国オープンソースカンファレンス（COSCon）が毎年開催され、「中国オープンソース年次報告書」が継続的に発表されています。また、「中国オープンソースパイオニアリスト」と「中国オープンソースコードパワーリスト」も共同で立ち上げ、国内外で幅広い影響力を発揮しています。