オープンソースソフトウェアサプライチェーンセキュリティ:半世紀の課題
2025-09-21
1974年のHoneywell Multicsシステムのセキュリティレビューで「バックドア」への懸念が指摘されて以来、2024年のDebianシステムを標的としたXZ攻撃に至るまで、オープンソースソフトウェアサプライチェーンセキュリティは持続的な問題となっています。この記事では、この問題の複雑さを探求し、単純な依存関係グラフを超えて、ソフトウェアのビルドと配布のあらゆる段階、そして人的要因を含んでいます。ソフトウェアの認証、再現可能なビルド、脆弱性の迅速な検出と修正、より安全なプログラミング言語の使用など、さまざまな解決策を提案しています。特に、資金不足によりプロジェクトが悪意のある乗っ取りを受けやすくなるため、オープンソース開発の資金調達を重視しています。XZ攻撃は、一見無害な「無料の助け」が大きなリスクを隠していることを示す明確な警告となっています。
開発
XZ攻撃