Googleは1月13日(現地時間)、オープンソースソフトウェアを保護するために官民の協力が必要だと訴えました。これは、2021年12月から大きな話題となっているオープンソースライブラリのLog4jに見つかった脆弱性の問題を受け、Linux FoundationやApacheソフトウェア財団(ASF)も参加する形で米ホワイトハウスが開催した、オープンソースソフトウェアセキュリティサミットで発表したもの。
この中でGoogleは、重要なインフラや国家安全保障のシステムで採用されているオープンソースソフトウェアは、そのセキュリティを維持する作業のほとんどをボランティアが行っていると指摘。オープンソースソフトウェアはコードが広く公開されており、その透明性と多くの目が監視しているために、一般的に安全だという前提で使われています。しかし、いくつかのプロジェクトには多くの目が向けられているものの、それ以外のプロジェクトにはまったく目を向けられていないとしています。
実際、SteamやiCloud、Amazon、Twitter、Mincraftなどでも利用されているロギングライブラリのLog4jの場合、Github上のメンテナはわずかに3人だったとも伝えられています。
「私たちの生活におけるデジタルインフラの重要性を考えると、そろそろ物理的なインフラと同じように考えてもいいのではないでしょうか。オープンソースソフトウェアは、オンライン世界の多くの部分をつなぐ組織であり、道路や橋と同じように注目し、資金を提供する必要があります」と、業界と政府が協力して、重要なオープンソースプロジェクトを支援すべきだと呼びかけます。
なお、オープンソースのセキュリティの優先順位を管理し、脆弱性の修正を支援するOpen Source Security Foundation(OpenSSF)がすでにありますが、Googleはこうした組織をサポートするために1億ドル(約114億円)を支出しているとのことです。
(Source:Google。Engadget日本版より転載)
