全世界を揺るがした「Log4j」のようなオープンソースソフトウェアを無償でメンテし続けるという難題を解決すべくGoogleが立ちあがる

オープンソースソフトウェアはソースコードを無償で一般公開しているため、ソフトウェアを販売して売上を確保することが難しく、開発者が「どこから収益を確保するか」は非常に重要な問題となります。そんなオープンソースソフトウェアの開発や保守(メンテナンス)に携わるエンジニアをサポートするための取り組みを、Googleが発表しました。

Making Open Source software safer and more secure
https://blog.google/technology/safety-security/making-open-source-software-safer-and-more-secure/

オープンソースソフトウェアは登場と共に拡大を続けており、オープンソースソフトウェアの開発者は10兆円以上の価値をもたらしているという指摘もあるほどテクノロジー業界に多大な貢献を果たしています。一方で、オープンソースソフトウェアの開発現場では持続可能な収入を確保できないことは以前から問題視されており、世界中に大きな衝撃を与えたJavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」が発覚した際には、Log4jのメンテナが「GitHub上にわずか3人しかいない」ことが明らかになりました。これは「ごく少数の無償で働くボランティアのおかげでオープンソースのソフトウェアやライブラリが成り立っている」ということを浮き彫りにしているといえます。

また、毎週200万回以上ダウンロードされている人気の高いオープンソースライブラリ・colors.jsの開発者であるMarak氏は、「自身の開発したライブラリを企業が無償で使用することは止めてほしい」と訴え続けてきたにもかかわらず、企業が同氏に報酬を支払うことはなかったことから、ライブラリを破壊して使用不可能にしてしまうという暴挙に出ています。この事態からも、オープンソースのソフトウェアやライブラリを開発・保守しながら収入を確保することがいかに困難かが伝わってくるはず。

大企業は無償利用せず金銭的支援を行えと警告したのに改めないので作者がついに激怒、毎週2000万回以上ダウンロードされるcolors.jsとfaker.jsを破壊し使用不能に - GIGAZINE

このように、オープンソースソフトウェアは重要なインフラストラクチャーや国家安全保障システムにも多数組み込まれているにもかかわらず、これらに存在する脆弱性を修正する作業は、基本的にボランティアベースで行われています。

また、オープンソースソフトウェアはその透明性により一般的に安全と認識されていますが、Log4jのケースのように「保守に携わる人物が少ない」「問題が発生した場合に大きな影響を与えうる」といった問題を抱えているともいえます。

そういった現状に対する認識を高めるための活動をGoogleは行っており、フレームワークや新しい保護ツールの開発に数百万ドル(数億円)規模の投資も行ってきたそうです。具体的には、2021年にサイバーセキュリティ推進のために100億ドル(約1兆1000億円)を投資する計画の一環として、ソフトウェアアーティファクトのサプライチェーンレベルフレームワークのアプリケーションを拡大し、主要なオープンソースコンポーネントを保護すると約束。実際に、脆弱性の修正を支援するOpen Source Security Foundation(OpenSSF)などの独立組織をサポートするために1億ドル(約110億円)を投資しています。

しかし、オープンソースソフトウェアを維持・保守するにはより多くの作業が必要であるとGoogleは主張しています。そこで、Googleはホワイトハウスで開かれたオープンソースソフトウェアセキュリティサミットに出席し、オープンソースソフトウェアなどの重要な分野を通じてアメリカの集合的なサイバーセキュリティを強化するために行政と協力していく方針であることを発表しました。このオープンソースソフトウェアセキュリティサミットの中で、オープンソースソフトウェア界隈をより持続可能なコミュニティとするための提案を、Googleが行っています。

Googleはまず、ソフトウェアのセキュリティを評価したり改善したり、リソースの優先順位付けをしたり割り当てを支援したりするために、「重要なオープンソースプロジェクトのリストを作成すべき」とし、そのためには官民パートナーシップが必要であると主張。

続けて、業界と政府が協力してセキュリティ・メンテナンス・テストなどの標準を確立することで、インフラストラクチャーやその他の重要なシステムがオープンソースプロジェクトに依存できるようにすべきと主張。なお、標準の確立にはOpenSSFのような組織がすでに取り組んでいます。

そして、オープンソースプロジェクトを健全で安全な状態に保つにはより多くの公的および民間からの投資が不可欠であるとして、オープンソースのメンテナンスを担当する組織を設立し、サポートを必要としているプロジェクトとこの組織をマッチングさせることをGoogleは提案しています。Googleは「この取り組みにリソースを提供する準備はできています」と記しています。

Googleは今回の発表について、「我々の生活における、デジタルインフラストラクチャーの重要性を考えると、物理的なインフラストラクチャーと同じように考え始めるべきタイミングが来たように思います。オープンソースソフトウェアはオンラインの世界にとって組織と組織をつなげる役割を担っています。我々が現実世界で道路や橋に期待する役割をになっているわけです。ホワイトハウスでの会議は、我々が抱える課題を認識し、それに対して取り組むための重要な一歩を踏み出すというものでした。国家安全保障会議、国家サイバー局長室、DHS CISAがサイバーセキュリティの課題に協調して対応するための努力を称賛し、その作業を支援するために引き続き私たちの役割を果たすことを楽しみにしています」とコメントしています。

なお、Googleのサンダー・ピチャイCEOも「オープンソースソフトウェアエコシステムを保護することは、人々とその情報をオンライン上で安全に保つための重要なステップです。サイバーセキュリティを強化するための継続的なパートナーシップの一環として、ホワイトハウスなどと推奨事項を共有できることを喜ばしく思います」とツイートしています。