バイデン米大統領は2021年5月、サイバーセキュリティーの向上を目指す大統領令に署名した。現在、米国連邦サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、この取り組みに基づいて、オープンソース ソフトウェア (OSS) の保護に特化した新しいロードマップを開発しています。
「CISA は、ソフトウェア開発者がより迅速に作業できるようになり、重要なイノベーションとコラボレーションが促進されるという、オープンソース ソフトウェアの多大な利点を認識しています。これらの利点を念頭に置いて、このロードマップでは、CISA が連邦政府の内外での OSS の使用と開発のセキュリティをどのように支援するかを概説しています。 」
はじめにによると、ロードマップでは 2 つの主要なタイプのオープンソース脆弱性が定義されています。1 つ目は、広く使用されているオープン ソース ソフトウェアの脆弱性の波及効果で、例として Log4Shell を使用して、オープン ソース ソフトウェアが侵害された場合に発生する可能性のある広範な影響を示しています。2 つ目は、オープンソース リポジトリに対するサプライ チェーン攻撃です。これは、開発者のアカウントが侵害され、攻撃者がそれを使用して悪意のあるコードを送信するなど、下流に悪影響を及ぼす可能性があります。
このロードマップでは、オープンソース ソフトウェアのセキュリティのサポートにおける CISA の役割の確立、オープンソースの使用状況とリスクの可視化の促進、連邦政府へのリスクの軽減、より広範なオープンソース エコシステムの強化といった 4 つの主要な優先事項が概説されています。
CISA によれば、これは、「すべての重要な OSS プロジェクトは安全であるだけでなく、持続可能で回復力があり、健全で多様で活気のあるコミュニティのサポートによってサポートされている」というオープンソース ソフトウェアのビジョンの達成に役立つとのことです。
サプライチェーンセキュリティ企業Chainguardの共同創設者兼最高経営責任者(CEO)であるDan Lorenc氏は、 CISAがこの分野の問題を細分化し、それらの問題に優先順位を付けるという点でうまく機能していると信じている。彼らは、この作業が「CISAのスタッフが地域社会と直接関わる上流で」行われる必要があることを十分に認識しているが、その作業が具体的にどのように進むかについては依然として懐疑的だ。
Lorenc氏は、政府がオープンソースプロジェクトに実際に資金を提供するために何らかの努力をするよう提案したが、現在のロードマップではこれについてまったく言及していない。
「政府は直接のコードやその他の貢献についてはあまり評判が良くありませんが、メモリの安全性、バグ修正、しかし、ここでの政府協力モデルは、あなたが押して、私たちが誘導するというアプローチを採用することはできません。」
完全なロードマップを表示します。