サイトアイコン IT NEWS

【コラム】オープンソースの終焉が来ているのだろうか?

本稿の著者Shaun O’Meara(ショーン・オメーラ)氏は、MirantisのグローバルフィールドCTO。企業のITインフラストラクチャの設計と構築において20年間、顧客と仕事をしてきた。

ーーー

数週間前、ミネソタ大学の研究者らにより「偽善者のコミット」と彼らが呼ぶものをLinuxカーネルに投入するメソッドが展開されたという憂慮すべきニュースがLinuxコミュニティを揺るがした(ただし結果的には完全に実行されなかったことが明らかになっている)。その主意は、検知が困難な振る舞いを配布し、それ自体には意味はないが、後に攻撃者によって整合されることで脆弱性が顕在化し得るというものだった。

その後すぐに、ある意味同じように憂慮すべきことだが、大学が少なくとも一時的にカーネル開発へのコントリビューションを禁じられたことが発表された。続いて、研究者らが公式に謝罪した。

脆弱性の発見と開示は往々にして厄介なものだが、世界最大かつ最も重要なオープンソースプロジェクトに対して、技術的に複雑な「レッドチーム」プログラムを実行するのは、少々やりすぎだと感じる。こうした振る舞いが爆発的な広がりを持つ可能性があることを理解しないほど、研究者や研究機関が無知であるとか、怠慢であるなどとは考えにくい。

同様に確かなこととして、メンテナーとプロジェクトガバナンスは、ポリシーを強化し、時間の浪費を回避する義務があり、常識的観点では、脆弱性を含まないカーネルリリースの生成に努めることが推奨されている(そしてユーザーが要求している)。しかしメッセンジャーを排除することは、少なくともいくつかの要点を見落としているように思われる。つまり、これは単なる悪意によるものではなく研究に基づくものであり、技術的、体系的な緩和を必要とする、ある種のソフトウェア(および組織)の脆弱性を明らかにしようとするものだということだ。

「偽善者のコミット」に端を発した不慮の事象は、拡張されたオープンソースエコシステム全体とそのユーザーを脅かす、あらゆる面において関連性のあるトレンドの兆候だと思う。このエコシステムは長い間、規模や複雑性、そしてFOSS(フリーソフトウェアとオープンソースソフトウェア)が人間による各種の活動において重要性を増していることにまつわる、数々の問題と格闘してきた。この複雑に絡み合った諸問題を見ていこう。

一方で、脅威のランドスケープは進化し続けている。

結果として、Linuxカーネルの大規模かつ絶対的な重要性を持つプロジェクトの多くは、大きな変化をもたらす巨大な脅威モデルに立ち向かう準備が整っていない状況にあると言えるだろう。私たちがここで考察している特定のケースでは、研究者たちは比較的少ない労力で侵入候補サイトをターゲットにし(静的分析ツールを使い、コントリビュータの注意を必要としていることがすでに確認されているコードの単位を評価する)、メールで非公式に「修正」を提案し、信頼性が高く、高頻度のコントリビュータとして確立されている彼ら自身の評判を含む多くの要因を活用して、脆弱性コードをコミットされる寸前の状態にした。

これは、堅牢で安全なカーネルリリースを作成するためにこれまで非常にうまく機能してきた信頼システムの「内部者」による重大な裏切り行為だった。信頼を悪用すること自体が状況を変え、それに続く暗黙の要件、つまり体系的な緩和で相互の信頼を支えるということが大きく浮かび上がってくる。

しかし、このような脅威にどう対処すればいいのだろうか。ほとんどの場合、正式な検証は事実上不可能である。静的解析では巧妙に設計された侵入を明らかにできない場合がある。プロジェクトのペースを維持しなければならない(修正すべき既知のバグがある)。そして、こうした脅威は非対称的だ。典型的な言い方をすれば、ブルーチームはすべてに対して防御する必要があり、レッドチームは一回成功すれば良い。

改善の機会がいくつか存在する。

基本的に私がここで主張しているのは、Kubernetesのようなオーケストレータはあまり重要ではなく、Linuxはそれほどインパクトを持たない、ということだ。最後に、ユニカーネルのようなシステムの使用を形式化することに向けて、できる限り早く進むべきである。

いずれにしても、オープンソースの継続に必要なリソースを企業と個人の両方が提供することを確保する必要がある。

関連記事
セキュリティテストのCheckmarxがオープンソースサプライチェーンのセキュリティを確保するDusticoを買収
オープンソースのアプリケーションフレームワークServerless Stackが1.1億円調達
【コラム】オープンソースとオープン標準の統合を再評価しよう

カテゴリー:ネットサービス
タグ:オープンソースコラムLinuxKubernetes

画像クレジット:Alexandr Baranov / Getty Images

原文へ

(文:Shaun O’Meara、翻訳:Dragonfly)

モバイルバージョンを終了