国防総省調達における オープンソースソフトウェア(OSS)の透明性

オープンソースソフトウェアの利用者は、ソフトウェアの品質や開発プロセスに関する十分な情報を得る必要がある。透明性の向上により、ソフトウェアの信頼性と安全性を高めることができる。

本論文では、オープンソースソフトウェア(OSS)の調達における課題と、その解決に向けた取り組みについて述べている。 OSS は誰でも自由にアクセスできるため、「買い手の注意義務」が重要視されている。しかし、OSS の利用者には、ソースコードの理解や開発プロセスの把握など、多くの負担がかかる。OSS の品質や安全性を確認するためには、OSS プロジェクトの透明性が不可欠である。 現在、OSS コミュニティでは、OSSF Scorecard やMITRE Hipcheckなどのツールを通じて、OSS プロジェクトの属性を可視化する取り組みが行われている。しかし、これらのツールにはまだ課題があり、OSS の利用者が十分な情報を得られるまでには至っていない。 今後は、OSS プロジェクトの開発プロセスや品質管理に関する情報を体系的に収集・分析し、OSS の利用者が適切なリスク評価を行えるようにすることが重要である。また、OSS コミュニティと利用者の連携を深め、相互理解を促進することも課題となっている。

ソフトウェアの最高品質コードでも600件/100万行のバグが存在し、平均品質コードでは6,000件/100万行のバグが存在する。 ソフトウェアバグの5%が安全性の脆弱性につながる。 最高品質コードでは30件/100万行、平均品質コードでは300件/100万行の脆弱性が存在する。 2023年のMOVEitの脆弱性による被害は約9.9億ドル、7件の有名なサプライチェーン攻撃の被害総額は約600億ドルに上る。

"ソフトウェア開発プロジェクトのリソースは十分に統合されておらず、コスト、スケジュール、コンプライアンスの制約の影響を受ける。これらの特性により、システムのライフサイクルの後期に弱点や脆弱性が残される。" "ソフトウェアの品質と信頼性の指標を使って、ソフトウェアの保証を予測することができる。" "OSS の利用者は、OSS プロジェクトの開発プロセスや品質管理に関する情報を体系的に収集・分析し、適切なリスク評価を行う必要がある。"