log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 60
ストーリー by nagazou
開催 部門より
開催 部門より
米バイデン政権は13日、昨年末にApache Log4j 2で見つかった深刻な脆弱性問題を受け、大手IT企業に加えてGitHubなどオープンソースソフトウェア(OSS)組織のトップを招いてセキュリティ会議を開催したという(ITmedia、ZDNet、Engadget)。
企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta(旧Facebook)、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。
会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。
企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta(旧Facebook)、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。
会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。
発見者の対応で偶然発覚した (スコア:2, 興味深い)
発見した中国企業が開発コミュニティに報告せずに、中国政府に報告していれば、
脆弱性が軍事機密に指定され、中国の軍や情報機関が独占的に脆弱性を利用するようになってたはず
日本も自衛隊とかがゼロデイ脆弱性を買い取ったり、独自に発見したりすればいいのに
Re: (スコア:0)
日本も自衛隊とかがゼロデイ脆弱性を買い取ったり、独自に発見したりすればいいのに
日本の自衛隊じゃ内部のWinny利用者くらいしか見つけられないんじゃないかな
Re: (スコア:0)
専守防衛の自衛隊にオフェンシブセキュリティは馴染まないんだよなぁ
Re: (スコア:0)
もしやその為に与党は9条改正に固執している……?
NSAは? (スコア:0)
商務省と別枠で国立標準技術研究所が出席しているなら
国防総省とは別枠でNSAが出席していてもよさそうな?
# NISTって言ってくれないと分からない
Re: (スコア:0)
意見は特にないんじゃない?手口を探るヒントのようなものを出すのも嫌だろうし。
Re: (スコア:0)
商務省と別枠で国立標準技術研究所が出席しているなら
国防総省とは別枠でNSAが出席していてもよさそうな?
だねぇ
対テロ、対共産主義に合意するならバックドアを用意しろ拒否すればどうなるかわかるよな?
みたいな無言の圧力で集めたセキュリティサミットでしょ
構図として踏み絵会場って感じにしかなりようがなさげ
NSAを表に出さないことで名目上の言い訳にって感じなんかね
# 民間の二次会で上手いことなんとか頑張ってもらおう
アパッチを集める (スコア:0)
Apacheを集めると聞いて、居留地からアパッチ族の方々を呼び出すのかと思った。
Re: (スコア:0)
> アパッチ族
スラドでそれはないだろう。
アメリカなんだから攻撃ヘリのことですよ。
Re:アパッチを集める (スコア:1)
ソフトウェアとしての Apache の語源 (後付けかもしれないが) をご存じない?
Re: (スコア:0)
ガンシップと同じ語源ですよ。まああれげ=ミリオタと勘違いした人のボケですわ。
Re:アパッチを集める (スコア:1)
ミリオタとか関係ないですよw
apache族も攻撃ヘリもみんな知ってますが、今はそんな話はしてません。
まずWebサーバのapacheは “A patchy web server” が語源、というネタがあって
それを踏まえて「Apache の語源 をご存知でない?」とか「アパッチを集める」って周りの人は言ってるんです
Re: (スコア:0, おもしろおかしい)
これだから中高年のオッサン嫌われるんだよって模範解答やな
Re: (スコア:0)
ん、現代的なスラドの模範的スレッド。これはこれで美しい。
Re: (スコア:0)
非協力的な企業をヘリで襲撃するんですね
Re: (スコア:0)
シャーマンファイトでも始めるのか?
Re: (スコア:0)
きっと、某氏を召喚する儀式や踊りに必要になると思って呼ぶように手配したけど、来てみたらアパッチはアパッチでもアパッチ違いだったのかも(^_^;)。
さて、召喚予定だった某氏とは誰か?
* ジョブズ†
* ビル
* 優しい終身の独裁者
* RMS
* NOTA
生霊も混じってるかな。
#でも、なんでオープン陣営ばかりで、自由陣営が招待されなかったのだろうか?自由人だからバックレた?
Re: (スコア:0)
帽子はマジ干されてるの分かってるんだろうなって
オラつき仕草みてて草。。。いや不謹慎だこれは
Re: (スコア:0)
野球では
Re: (スコア:0)
軍用ヘリが飛んできます
Re: (スコア:0)
"a patch"を集めるの間違いかもしれない。
修正パッチ応募は一人一個まで。
Re: (スコア:0)
それはマジでApacheの語源。
メンテ放棄されてたNCSA httpdにパッチ当てまくって作ったからそう名付けられた。
お偉いさん集めても無駄だろう (スコア:0)
多数ある個人開発のOSSも星の数ほどあるのに
お偉いさん集めて話し込んでもなぁ・・・金払えば問題解決するとも思わないし他人のコードほど読みにくいのもないってわけで
Re: (スコア:0)
(Larry Wall曰く)読みにくくてもほら、動くでしょう?
Re:お偉いさん集めても無駄だろう (スコア:1)
だからPerlはクソなんだと思ってた。
素人が書いたVBAメンテさせられるまでは。
Re: (スコア:0)
素人が書いたのなら、VBAに限らずどんな言語でもメンテしづらいのは一緒だろ
Re: (スコア:0)
素人にも限度がある。
ある程度は基礎知ってないと動くコードが書けない言語と、論理演算も知らない奴が書いて(?)も動いてしまう言語では格が違う。
Re: (スコア:0)
実は(手堅いはずの)C++でも同じことで、どうとでも書けてしまうから、読めないものはどうにも読めない。
Re: (スコア:0)
FSFは呼ばれてないんだな。反政府的なのがダメなのか、需要視されてないのか
Re:お偉いさん集めても無駄だろう (スコア:1)
やっぱカネだろう (スコア:0)
OSSから十分に恩恵を受けてると思う企業は寄付金を出せという話だと思う。
誰も寄付しなきゃそれまでのプロジェクト。ボランティアの気力が続かなくなれば畳むしかない。
あとカネ出すにしてもOSS界隈の人たちは影響力を嫌うので見返りを求めない純粋な寄付であること。
政治献金と同じだ。社会奉仕活動の一環。
Re: (スコア:0)
OSSから十分に恩恵を受けてると思う企業は寄付金を出せという話だと思う。
これにも副作用があってというかもはや麻薬っていう
大口あるからと喜んでだらもう他に金回す脅されて言いなりになったり
# Gの資本依存になって腐ったとことかあったしなぁ
Re: (スコア:0)
あとカネ出すにしてもOSS界隈の人たちは影響力を嫌うので見返りを求めない純粋な寄付であること。
そこまで言っちゃうと「献金を大量に受けたけどセキュリティに使わないOSSプロジェクトには、OSS界隈側で自浄作用を働かせるのか?」になるよね。
それすら「影響力を嫌う」とか言い出したら、それこそ「社会の安全のために、OSS纏めて禁止しろ」に向かいかねないよ?
# もう少しマイルドに「献金の●●%以上をセキュリティに使ってないOSSは禁止」とかもあり得るか
Re: (スコア:0)
会計報告の開示だけ義務付ければ十分じゃね?
セキュリティに予算を割かなければ次から献金が集まらなくなるだけ。
Re: (スコア:0)
それだと結局、じゃあOSSの安全を担保するにはどうすりゃいいんだ?に戻るような。
Re: (スコア:0)
お前らも使ってるものならちゃんと面倒みろよ、という態度なのかもしれないけどね
その場合は直接金出すよりもコミュニティに人手を出す事を求められてるのかも
OSSという存在自体が問われている (スコア:0, 荒らし)
簡単にソフトウェアを作れすぎる現状に問題がありますね
ここまでソフトウェアが社会を動かす存在になった以上、しかるべき機関を作りしかるべく認証をすることです
MicrosoftやAppleなどは自OSで動くソフトウェアを審査し、基準を満たせないものは使用禁止となっていくでしょう
しかし使う側も無罪かと言えばそうではありません
直近のjsライブラリの事件を例に出すまでもありませんが
得体のしれない誰が開発したのかプロジェクトの中の人しか分からないようなものを社会のインフラとして扱うような
そんな不誠実なことをする企業は社会の信頼を失いいずれ消えていきます
OSSでも何でも使って安く作れば俺の勝ち、という時代は終わりつつあるように感じます
Re:OSSという存在自体が問われている (スコア:1)
全く現実味が感じられないんだけど。
バイナリの配布は署名必須とかで防げるにせよ、ソースコードを公開するのまで機関の認証が必須なんて無理じゃない?そんなの防げる組織があったら、インターネット上の検閲とかし放題だよね。
使う側の責任は問えなくはないけど、log4jの件ってOSSだから起きたとは言い難いし。
既存のOSSに依存しない環境なんて現状、作るの至難じゃない?誰がどう責任を担保するようにしたいの?
Re: (スコア:0)
MicrosoftやAppleなどは自OSで動くソフトウェアを審査し、基準を満たせないものは使用禁止となっていくでしょう
これは、第三者の審査機関にやってもらいたいね。
今後はプログラムの作成は免許制になるのかな?審査機関のコードレビューを通したプログラムだけが、他者に使ってもらえる、みたいな。
Re:OSSという存在自体が問われている (スコア:1)
> これは、第三者の審査機関にやってもらいたいね。
なるほど、技適みたいな制度を作れば安心安全ですね!
# BALMUDA Phoneからの投稿テスト
Re: (スコア:0)
痛しかゆしな部分ですね。
審査も最近はソフトウェアが複雑化して(しすぎて)いますし、さらにプログラミング用AIが開発・投入された事でより複雑さが増している。
某サイトがAIで脆弱性をスキャンする機能を搭載可能であるとしてたけど、今回の脆弱性を審査で発見可能か追試する学者様いらっしゃることを期待。
しかし、この不完全な世界には完全無欠な人間がいないように、完璧なモノは存在しえない以上、どこに妥協点をおくかは各自の選択肢になるが、かなりヘビーな人生ゲームだね!
昔読んだ、お話おいておきます。
読む権利 リチャード・ストールマン著 - GNU
https://www.gnu.org/philosophy/right-to-read.ja.html [gnu.org]
#奴隷になる選択肢が選択可能という自由は、はたして真の自由なのか?いまだに問い続けています。
Re: (スコア:0)
得体がしれようと、しれまいと、脆弱性の対応を誠実にやってくれる所であれば今後も頼っていくのだと思いますよ。
結局のところ、そのソフトを開発した創始者に改修対応してもらえるのが本来はベストな訳ですから。
例えば Windows 10 は使っても Windows XP をもう使わないのは、認証の有り無しよりも、セキュリティ面でのサポートが受けられないからだと思います。
広範に使われている (スコア:0)
OSSの脆弱性に懸賞金かけたらかなり穴塞げると思う
ビッグテックが自社のプロダクトにやってるように。
そういうバウンティハンターが稼げる道を作ればともすれば厄介なクラッキング側に回りかねないモラルのボーダーラインにいる奴らも取り込めるし一石二鳥
Re: (スコア:0)
そんな仕組み一瞬で破綻しますよ。
何故なら
俺みたいな奴が、匿名でオープンソースの開発に参加して、こっそりセキュリティホール仕込んで
別の名前で脆弱性を発見したってレポート投げてボロ儲けできるからです。全然、解決にならない。
Re: (スコア:0)
コミッターにプルリクDDOS仕掛けてパンクさせて判断力鈍らせた時に…
ってのもありうるか。
Re: (スコア:0)
匿名で参加してもレビュー通らないだろ。
Re:サミット、、、 (スコア:0)
サミットと言われて思い出すのは、、、エクストリーム社の紫色サミットスイッチ
(*´Д`)ハァハァ
OSS界隈の本音が垣間見える (スコア:0)
>IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべき
地味で面倒で厄介な仕事はヤダヤダ、楽しいhackだけしていたい というOSS開発者の本音が透けて見えて失笑
Re:OSS界隈の本音が垣間見える (スコア:1)
それOSS開発者に限らず大体の労働者の本音やで。
だからこそみんなが面倒で避けがちな仕事に対して
・仕様を統一して面倒さそのものを軽減しよう(政府からの提言の一つ)
・面倒に見合う報酬を用意してコミュニティをサポートし(て人を集め)よう(GoogleおよびAlphabetのCLOの提言)
ってのが出てきてる。
ところで、GoogleおよびAlphabetの現CLO(ケント・ウォーカー)はOSS開発者なん?
みんなで順次現状OSSの使用を減らして、全く新しいものに入れ替えとなると・・・ (スコア:0)
とかを、100年後くらいまでにやるとして、
How much?とかの話な様な(走召糸色木亥火暴)
"castigat ridendo mores" "Saxum volutum non obducitur musco"