本文の内容は、2024年4月12日に NIGEL DOUGLAS が投稿したブログ(https://sysdig.com/blog/hidden-economy-of-open-source-software/)を元に日本語に翻訳・再構成した内容となっております。
さまざまなオープンソースの Linux ベースのコンピューター アプリケーションで使用されるデータ圧縮ユーティリティである XZ Utils ( CVE-2024-3094 ) でのバックドアの最近の発見は、オープンソース ソフトウェアのセキュリティの重要性を示唆sしています。多くの場合、オープンソース ソフトウェアはコンシューマ向けではありませんが、マシン間の安全な通信など、コンピューティングおよびインターネット機能において重要なコンポーネントです。
オープンソース ソフトウェア (OSS と略称) はテクノロジー業界の基礎となり、小規模な新興企業から世界的企業に至るまであらゆるものに影響を与えています。OSS の遍在的な存在とイノベーションの推進における基本的な役割にもかかわらず、OSS の真の経済的価値は、これまでほとんど未知の領域のままでした。ハーバード ビジネス スクールの研究者 Manuel Hoffmann、Frank Nagle、Yanuo Zhou による「オープンソース ソフトウェアの価値」と題された画期的な研究は、この未踏の領域を掘り下げ、業界全体にわたる OSS の驚くべき経済的影響を明らかにしています。
数兆ドルの影響力を持つ貴重な財団
この研究は、無料で入手できるものの価値をどのように測定するかという基本的なパラドックスに対処することから始まります。伝統的に、経済的価値は、製品の価格と販売数量を乗算して計算されます。ただし、OSS に関しては、この方程式は問題に直面します。無料のものには値札がありません。また、OSS 配布の分散化された性質により、その使用状況を追跡するのは大変な作業です。
この調査では、独自のグローバル データ ソースと新しいアプローチを活用して、「供給側」の価値 (最も広く使用されている OSS を再作成するコスト) を 41 億 5,000 万ドルと見積もっています。しかし、真に目を見張るのは、8.8兆ドルという驚異的な金額に固定された「需要側」の価値です。この数字は、企業が同等のソフトウェアを社内で開発しなければならない場合に直面するであろう仮想コストを表しており、OSS が世界経済にもたらす莫大な節約と効率性の向上を浮き彫りにしています。
たとえば、オープンソースのクラウドネイティブ セキュリティ ツールである Falco は、ソフトウェアを強化し、クラウドコンピューティングで進化する脅威に確実に対応できるようにすることに専念する190 人の個人からのコントリビューションを誇っています。組織が Go のカスタム脅威検出エンジンをゼロから開発しようとした場合、ツールを継続的に開発および保守するために 190 人のスタッフメンバーを雇用するのは財政的に非現実的です。190 人のコントリビューターのほとんどは、本業ではなくサイドプロジェクトとして Falco に携わっている可能性がありますが、プロジェクトに積極的にコミットしている人の数を認識することは、その集団的な人的投資についての貴重な洞察を提供します。
OSS の縁の下の力持ち達
この調査で最も興味深い発見の 1 つは、OSS コミュニティ内での価値創造の集中です。OSS 開発者のわずか 5% が、需要側の価値の 96% を担っています。このエリートのコントリビューターグループはソフトウェア業界に不釣り合いな影響を与えており、テクノロジー業界と政策立案者の両方からのサポートと評価の必要性があると言えます。
最近の XZ Utils バックドアの話題に戻りますが、そのようなインシデントの再発を防ぐために、政策立案者とソフトウェア ベンダーは、既存の OSS プロジェクトのセキュリティと整合性を強化するための積極的な措置を講じる必要があります。多くの OSS メンテナーは、通常の雇用に加えて無償で自主的にこれらのプロジェクトに取り組んでいます。これにより過労や燃え尽き症候群が発生し、攻撃者が悪用してソフトウェアを侵害する可能性のある脆弱性が生じる可能性があります。
適切な保護手段やサポート システムがなければ、これらのメンテナーは、その重要な貢献が過小評価され、重大なリスクにさらされる環境で活動しています。これらの課題に対処するには、業界全体で厳格なセキュリティ慣行を導入するとともに、OSS 開発を認識し、財政的に支援する政策介入が急務となっています。OSS プロジェクトへの資金提供、メンテナーへのセキュリティ トレーニングの提供、包括的なレビュー プロセスの開発などの措置を導入することで、政策立案者とベンダーはメンテナーを不当な圧力から保護し、OSS のセキュリティを強化できます。
経済を動かすプログラミング言語
さらに深く掘り下げると、この調査では、OSS の価値の大部分が実際にはいくつかの主要なプログラミング言語によって生み出されており、Go、JavaScript、Java がその先頭に立っていることがわかりました。これらの言語は開発者の間で人気があるだけではありません。これらは数十億ドルの価値を生み出すのに役立ち、OSS エコシステムへの投資と育成の戦略的重要性をさらに示唆しています。
組織が JavaScript や Python ライブラリなどの既存のオープンソース オプションを活用するのではなく、独自のプログラミング言語を作成することを選択するという概念は、そのような取り組みに必要な広範なリソースと専門知識を考慮すると、実際的なメリットはありません。
新しいプログラミング言語をゼロから構築するには、膨大な初期開発作業だけでなく、それを運用環境で使用できるようにするための継続的なメンテナンス、ライブラリ、ツールの開発、およびコミュニティのサポートも必要になります。さらに、JavaScript や Python などの人気のある言語を中心とした既存のエコシステムは、グローバル コミュニティからの長年にわたる共同の努力と貢献の結果であり、アプリケーションの迅速な開発と展開を促進する膨大なライブラリとフレームワークが含まれています。
ただし、これらの広く使用されている言語には、パッチを適用しないで放置すると重大なセキュリティ リスクを引き起こす既知の共通脆弱性およびエクスポージャー(CVE) などの脆弱性が存在します。特に最新のアプリケーションが依存するオープンソースの依存関係の広さを考慮すると、これらの脆弱性に対処することは、個々の組織の能力を超えていることがよくあります。このシナリオは、オープンソース エコシステムのセキュリティ インフラストラクチャーの強化における大手ソフトウェア ベンダーの重要な役割を強調しています。
これらのベンダーは、コードの直接貢献、資金提供、または高度なセキュリティ ツールとサービスの提供を通じて、これらの言語とライブラリのセキュリティに貢献することで、世界中の組織の潜在的な攻撃対象領域を大幅に減らすことができます。このような個人のメンテナー、組織、大規模ベンダー間の協力的な取り組みは、今日のデジタル インフラストラクチャーの多くを支えるオープンソース ソフトウェアの全体的なセキュリティ体制を強化するために不可欠です。
Falco プロジェクトの安全性はどのように保たれていますか?
Falco プロジェクトは、ベンダーの独立性を維持するという取り組みと、セキュリティ体制を強化するための共同の取り組みを行なっています。Falco の哲学の基本的な柱は、ベンダー中立の姿勢であり、プロジェクトが特定の企業の利益に縛られることなく幅広い貢献から利益を得ることを保証します。このアプローチにより、いくつかの大手企業が多大なエンジニアリング リソースを投入して、多様で強力なコミュニティが育成されました。
プロジェクトの成熟度と信頼性を証明するために、Falco はCloud Native Computing Foundation(CNCF) のインキュベーションステータスを無事に卒業しました。この成果は、包括的な第三者によるセキュリティ監査を含む、CNCF 技術監視委員会 (TOC) によって実施されたかなり厳格なデュー デリジェンス プロセスによって証明されました。この卒業は、Falco の成長と持続可能性を証明しただけでなく、オープンソース ランタイム セキュリティ エコシステムのリーダーとしての Falco の地位を確固たるものにしました。
包括的な開発環境への Falco の取り組みを反映して、Falco はプロジェクトに積極的に取り組んでいる 17 の組織からの貢献を誇っています。特に、コントリビューションの約 38% は、多くの個人コントリビューターに加え、特に Amazon、Cisco、Chainguard、Clastix、IBM、Microsoft、RedHat、SecureWorks などの有名な組織に所属する多様なコミッターからのものです。この共同の取り組みは、広範囲にわたる復元力のあるセキュリティ ツールを促進するという Falco の使命がどのように実行されているかを示しています。
ガバナンス慣行は、単一の組織がプロジェクトの方向性を支配することを防ぐための具体的な措置を講じることで、ベンダーの中立性に対するFalcoの取り組みをさらに強化します。主要なガバナンス ルールにより、組織の有資格投票は 40% に制限され、プロジェクト コミュニティ内でのバランスの取れた代表と意思決定が保証されます。
OSS の持続可能な未来に向けて
ハーバード大学の調査結果は、ビジネスにおける OSS の価値を熟考するよう組織に行動を促す明確な呼びかけであると同時に、それらのプロジェクトの多くがプロジェクトを監査するために適切な措置を講じていることも強調しています。この文書では、技術革新と経済効率の推進における OSS の重要な役割をさらに説いています。
ただし、このデジタル コモンズは、物理的なコモンズと同様に、XZ Utils バックドアに見られるように、過剰使用や投資不足に対して脆弱です。この調査結果は、OSS 開発を支援し、OSS の持続可能性と世界経済への継続的な貢献を確保するための協調的な取り組みを提唱しています。
「オープンソース ソフトウェアの価値」調査は、隠れた経済大国である OSS にスポットライトを当てています。この調査では、その価値を定量化することで、OSS コミュニティの貢献を称えるだけでなく、その将来を確保するための戦略的投資とサポートの重要な必要性も浮き彫りにしています。デジタル時代が進むにつれて、OSS の真の価値はどれだけ誇張してもしすぎることはありません。OSS は、イノベーションを促進し、効率を高め、テクノロジーの展望を形作る不可欠なリソースです。