ソフトウェアは、現代のすべてのビジネスの中核であり、運用のあらゆる面で重要です。 プロプライエタリなソフトウェアでさえオープン ソース ライブラリに依存しているため、ほぼすべてのビジネスがオープン ソース ソフトウェアを使用します。 OpenUKの 2022 年の「State of Open」レポートでは、企業の 89% がオープン ソース ソフトウェアに依存していることがわかりましたが、すべての企業が依存しているソフトウェアの詳細を明確にしているわけではありません。
企業は、運用に不可欠なソフトウェアに関するより多くの情報をますます要求しています。 責任ある企業は、自社のソフトウェア サプライ チェーンに細心の注意を払い、アプリケーションごとにソフトウェア部品表 (SBOM) を作成しています。 このレベルの情報は、ソフトウェアのセキュリティ上の欠陥が特定されたときに、どのソフトウェアとバージョンが使用されているか、どのシステムが影響を受けているかをすぐに確認できるようにするために重要です。 このような状況では、知識が力になります。
ボランティアへの依存
2021 年後半に、セキュリティの脆弱性と呼ばれる ログ4シェル 広く使用されている Java ロギング フレームワークである Log4j で確認されました。 これは広く使用されているオープン ソース ライブラリであるため、この脆弱性は広く知られており、修正が期待されていました。 しかし プロジェクトのメンテナーはボランティアでした. 彼らは日中の仕事をしており、多数のシステムが影響を受けたとしても、緊急のセキュリティ修正を必要としていませんでした。 この脆弱性だけで、エンタープライズ クラウド環境の 93% が影響を受けたと推定されています。
当時、オープン ソースについて否定的な報道がありましたが、真実は、これがクローズド ソースのコンポーネントである場合、脆弱性が公に知られることはなく、組織が攻撃にさらされる可能性があるということです。 ライブラリのオープン ソースの性質は、ライブラリを検査し、問題を発見し、他の人からアドバイスを提供できることを意味していました。 ですから、そうです、保守担当者は、ボランティア プロジェクトのセキュリティ問題について待機していませんでした。 では、大きな問題は次のとおりです。大企業がソフトウェアに依存し、そのソフトウェアを他の誰かが請求書の支払いを行う責任を負っているという状況に、どのようにして陥ったのでしょうか?
ソフトウェアの依存関係を無視することは、ソフトウェアのライセンスに関係なく危険なビジネスですが、それがオープン ソースであり、非常に広く使用されている場合、特に危険になります。 XNUMX つの脆弱性の話に固執します。 この問題はコードベースに何年も存在していましたが、発見されませんでした。 非常に広く使用されていたツールは、実際にはそれほど広くサポートされていませんでした。 次に起こったことは歴史です.
この話は、重要な依存関係を持ちながら、メンテナーやプロジェクト自体をサポートするための措置を講じていない非常に多くの企業で何度も繰り返されています。 ビジネスで使用されるソフトウェアの SBOM を持つことは、彼らが手元に情報を持っていることを意味します。 ソフトウェアを他者に提供する組織にとって、コードと一緒に SBOM を提供することへの期待はますます標準になっています。
リスクを評価するために依存関係を知る
依存関係に関する知識を取り入れることで、それぞれに関連するリスクの評価が容易になります。 これらのオープン ソース プロジェクトは、最も簡単に評価できます。問題への対応や最近のリリースはありますか。 各プロジェクトのメンテナーとプロジェクト アクティビティを確認できると、プロジェクトの健全性を把握するのに役立ちます。
企業は、依存しているプロジェクトをサポートすることで、リスクを軽減する役割を果たすことができます。 プロジェクトによっては、GitHub スポンサー スキームを介して直接スポンサーシップを受け入れるものもあれば、代わりにホスティングやセキュリティ監査のオファーを歓迎するものもあります。 すべてのオープンソース プロジェクトは、貢献を高く評価しています。 あなたのビジネスがこのライブラリ自体を作成した場合、社内のエンジニアはすべてのバグを自分で修正する必要があります。
オープンソースは共有所有権スキームに似ています。 全員が同じものを繰り返し構築する必要はありませんが、貢献することができます。これにより、労力が軽減され、結果として品質が向上します。 企業ができる最も影響力のあることの XNUMX つは、エンジニアリング リソースを少し活用して、 プロジェクトのバグ修正や機能に貢献する ビジネスの核となるものです
自社のエンジニアをプロジェクトに参加させ続ける 多くの利点があります。 彼らはそれを知り、新しい機能や新しいリリースが利用可能になったときに目を光らせることができます。 重要なことは、ビジネスは依存プロジェクトの健全性とステータスを把握しており、依存プロジェクトを健全に保つものの一部であり、依存関係の問題がビジネスに及ぼすリスクを軽減します。 Aiven を含む多くの組織には OSPO (オープン ソース プログラム オフィス) があり、組織が使用するプロジェクトに貢献したり、プロジェクトを維持したりすることに専念するスタッフがいます。 これらの部門は、多くの場合、オープン ソース エコシステムにおける会社の一般的な存在に貢献し、他の従業員がオープン ソースに関与できるようにします。
もう XNUMX つのアプローチは、オープン ソースをサポートするために存在する組織をサポートすることです。 の OpenSSF (オープン ソース セキュリティ財団) オープンソース プロジェクトのセキュリティを向上させるために活動しており、それらのプロジェクトに依存する組織によって資金提供されています。 また、企業が使用するソフトウェアのリスクについて自分自身を教育できるように、優れた学習リソースも公開しています。 別の同様の組織は、 タイドリフト、特定の基本的な要件が満たされていることを確認するためにメンテナーと提携し、組織から資金提供を受けています。 Tidelift は、企業がソフトウェア サプライ チェーンを管理し、この分野でのベスト プラクティスを採用するのに役立つツールと教育も提供します。
より安全なソフトウェアの未来を確保する
ビジネスはソフトウェアに依存しており、これにはオープン ソース ソフトウェアが含まれます。オープン ソース ソフトウェアは広く使用されており、通常、独自の代替手段よりも安全です。
これは賢明な行動ですが、さらに賢明な行動は、ソフトウェア サプライ チェーンとその依存関係について明確な知識を持つことです。 問題が発生した場合、健全なプロジェクトに依存し、ソフトウェアの詳細を利用できるようにしておくことは、すべての組織に役立ちます。 すべての組織がこれを行った場合、Log4Shell の脆弱性などのイベントが発生するリスクが軽減されます。
