カジノサイト
ソフトウェア サプライ チェーンにおけるオープンソースの将来を確保する
ソフトウェア サプライ チェーン内のオープンソースの脆弱性に対する懸念が、これまで以上に高まっています。オープンソースサプライ チェーンを保護する際のサイバーセキュリティ専門家向け。そして、Log4Shell 後の世界、それは理にかなっています。
結局のところ、Log4Shell は壊滅的な影響を実証しましたサプライチェーンに対するオープンソースのサイバー攻撃。
オープンソース ソフトウェアが最新のデジタル インフラストラクチャの大部分を支えているため、平均的なアプリケーションは オープンソース コンポーネント - オープンソース ソフトウェアを保護するために協調して努力しなければ、あらゆる組織が脆弱なままになります。
それは不思議ではありません特に、オープンソースの脆弱性に迅速かつ効率的に対処するための熟練した従業員と手元のリソースが緊急に不足していることを考慮して、オープンソース ソフトウェアのサイバー保護を強化するために政府のさらなる協力を求めています。
オープンソースの最大の強みと課題
オープンソース ソフトウェアの協調的なアプローチは、イノベーションを推進するのに非常に効果的ですが、その分散モデルは組織のセキュリティを維持する意欲を阻害します。オープンソース (つまり、ソフトウェアから製品やサービスを構築する組織) の受益者が非常に多いため、これらのプロジェクトの維持に責任を負っている組織は十分ではありません。
サプライ チェーン内で使用しているコンポーネントを明確に把握していないため、オープンソースの恩恵を受けていることに気づいていない組織もあります。心配そうに、最近、2020 年に発見された最もリスクの高いオープンソースの脆弱性が、すでに 2 年以上前からコードに存在していたことが判明しました。それは問題です。
組織がセキュリティ リスクを軽減できるのは、直接所有していないソフトウェア コンポーネントを含む攻撃対象領域全体を明確に把握できる場合のみです。また、オープンソース プロジェクトを特定して関与する積極的な努力をしない限り、オープンソース コンポーネントに対する組織の管理範囲は最小限に抑えられます。
ソフトウェアのサプライチェーン全体を考慮すると、課題はさらに深刻になります。以下2022 年のソフトウェア サプライ チェーンに対して、組織はサプライ チェーンを保護するためのより効果的な対策と戦略を開発することがこれまで以上に重要になっています。
誰もが知っているように、ベンダーのセキュリティや組織のインフラストラクチャにたった 1 つの弱点があるだけで、砂上の楼閣全体が崩壊してしまいます。オープンソースは組織からサプライ チェーンのセキュリティに対する制御をさらに奪うため、このリスクをさらに悪化させます。
私たち全員が恩恵を受けるので、全員が貢献する必要があります
歴史的には、オープンソース プロジェクトが新しいコードをリリースするたびに、何千人もの専門家の目がそれを精査して潜在的な脆弱性を特定するだろうという誤った思い込みがあります。残念ながら、これは当てはまりません。特にプロジェクトがニッチであるか、大規模な組織の財政的支援がない場合はそうです。
だからこそ、オープンソースの受益者はまず考え方を変え、そのセキュリティの所有権を受け入れる必要があります。組織には、受動的に傍観して他者の努力から恩恵を受けるのではなく、依存するプロジェクトの管理においてより積極的な役割を果たす大きな責任がなければなりません。
重要なのは、セキュリティ上の問題を特定して修正するために使用するオープンソース コードをレビューするために、セキュリティ チームと開発者チームから専用の財務リソースと時間を割り当てるようすべての組織に奨励することです。
脆弱性のライフサイクル全体にわたってセキュリティを奨励する
組織がオープンソース コミュニティのサポートに取り組んだ後、どこから始めればよいでしょうか?オープンソース ライブラリに関しては、もちろん、調べなければならないコードが大量にあります。したがって、脆弱性ライフサイクル全体にわたって献身的な注意を払うことが不可欠です。
コラボレーションを促進し、オープンソース コミュニティを強化する最良の方法の 1 つは、報奨金プログラム、倫理的なハッカーがオープンソース コードの潜在的な脆弱性を特定、報告、対処することを奨励します。多くの先進的な企業は現在、プロジェクトのメンテナーとそのチームの負担を軽減するために、バグ報奨金の報酬をハッカーとオープンソース ソフトウェアのメンテナーに分割しています。
通常、オープンソース ソフトウェアのメンテナーはボランティアとして時間を無償で提供しますが、この新しい「分割報奨金」アプローチにより、脆弱性管理に貢献するすべての関係者への支払いが保証されます。同様のリスクを共有する複数の組織からの資金をプールすることで、個々の組織に対するオープンソース セキュリティの負担も軽減され、各貢献者の集団的なセキュリティの構築にも役立ちます。
メンテナとセキュリティ チームの負担を軽減するもう 1 つの方法は、効率化に向けた共同の取り組みです現在、大規模なオープンソース ライブラリには巨大な依存関係ツリーが存在しており、脆弱性が存在する可能性がさらに高まっています。少数のより広範で汎用性の高いオープンソース ライブラリへの統合は、潜在的な脆弱性の提出フローを簡素化するのに役立つ可能性があります。
オープンソースを無視されたターゲットにするわけにはいきません
サプライ チェーンは常にサイバー犯罪者にとって大きな魅力となってきましたが、セキュリティ コミュニティはサプライ チェーンが無視される標的になることを避けなければなりません。オープンソース サプライ チェーンの利点は見過ごすことができないほど多すぎます。
この分野の成長がすぐに鈍化する可能性は低いため、コミュニティが引き続き団結し、共同責任を採用し、脆弱性ライフサイクル全体にわたってセキュリティを奨励し、オープンソースが繁栄し続けることを可能にすることが不可欠です。
Kayla Underkoffler は、HackerOne の上級セキュリティ技術者です。
© 2023 ケイラ・アンダーコフラー
