2021年5月、バイデン米国大統領はサイバーセキュリティ強化のための大統領令に署名しました。現在、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、この取り組みに基づき、オープンソースソフトウェア（OSS）の保護に特化した新たなロードマップを策定しています。

CISAは、オープンソースソフトウェアがソフトウェア開発者の作業を加速させ、画期的なイノベーションとコラボレーションを促進するという計り知れないメリットを認識しています。これらのメリットを念頭に置き、本ロードマップでは、連邦政府内外におけるOSSの安全な利用と開発をCISAがどのように支援していくかを概説しています。

序文によると、ロードマップではオープンソースの脆弱性を主に2種類定義しています。1つ目は、広く利用されているオープンソースソフトウェアにおける脆弱性の連鎖的な影響です。Log4Shellを例に挙げ、侵害されたオープンソースソフトウェアが及ぼす広範な影響を説明しています。2つ目は、オープンソースリポジトリに対するサプライチェーン攻撃です。これは、開発者アカウントの盗難や、攻撃者がそれを利用して悪意のあるコードを送信するなど、下流に悪影響を及ぼす可能性があります。

ロードマップでは、オープンソース ソフトウェアのセキュリティをサポートする CISA の役割を確立すること、オープンソースの使用とリスクの可視性を促進すること、連邦政府に対するリスクを軽減すること、より広範なオープンソース エコシステムを強化することなど、4 つの主要な優先事項が概説されています。

CISA によれば、これはオープンソース ソフトウェアに関する次のビジョンの実現に役立つとのことです。「すべての主要な OSS プロジェクトは安全であるだけでなく、持続可能で回復力があり、健全で多様性に富んだ活気のあるコミュニティによってサポートされます。」

サプライチェーンセキュリティ企業Chainguardの共同創業者兼CEOであるダン・ロレンク氏は、 CISAが現場の問題を細分化し、解決策の優先順位付けをうまく行っていると考えている。CISAはこの取り組みが「上流工程で、CISAのスタッフがコミュニティと直接連携して」行われる必要があることを十分に認識しているものの、この取り組みの具体的な進捗状況については依然として懐疑的だ。

ロレンツ氏は、政府がオープンソース プロジェクトに実際に資金を提供する努力をすべきだと提案したが、現在のロードマップではこれについて何も触れられていない。

政府は、直接的なコード提供やその他の貢献による支援については、あまり評判が良くありません。しかし、メモリ安全性、脆弱性修正、SBOMツールなど、ロードマップ上の多くのプロジェクトを実現するために、既に進行中の作業への資金援助は可能です。しかし、ここでの政府連携モデルは、『あなたが後押ししてくれれば、私たちが舵取りします』というアプローチであってはなりません。