パスワードを忘れた? アカウント作成
15543458 story
アメリカ合衆国

log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 60

ストーリー by nagazou
開催 部門より
米バイデン政権は13日、昨年末にApache Log4j 2で見つかった深刻な脆弱性問題を受け、大手IT企業に加えてGitHubなどオープンソースソフトウェア(OSS)組織のトップを招いてセキュリティ会議を開催したという(ITmediaZDNetEngadget)。

企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta(旧Facebook)、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。

会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年01月18日 21時33分 (#4186683)

    発見した中国企業が開発コミュニティに報告せずに、中国政府に報告していれば、
    脆弱性が軍事機密に指定され、中国の軍や情報機関が独占的に脆弱性を利用するようになってたはず

    日本も自衛隊とかがゼロデイ脆弱性を買い取ったり、独自に発見したりすればいいのに

    • by Anonymous Coward

      日本も自衛隊とかがゼロデイ脆弱性を買い取ったり、独自に発見したりすればいいのに

      日本の自衛隊じゃ内部のWinny利用者くらいしか見つけられないんじゃないかな

    • by Anonymous Coward

      専守防衛の自衛隊にオフェンシブセキュリティは馴染まないんだよなぁ

      • by Anonymous Coward

        もしやその為に与党は9条改正に固執している……?

  • by Anonymous Coward on 2022年01月18日 19時14分 (#4186631)

    商務省と別枠で国立標準技術研究所が出席しているなら
    国防総省とは別枠でNSAが出席していてもよさそうな?

    # NISTって言ってくれないと分からない

    • by Anonymous Coward

      意見は特にないんじゃない?手口を探るヒントのようなものを出すのも嫌だろうし。

    • by Anonymous Coward

      商務省と別枠で国立標準技術研究所が出席しているなら
      国防総省とは別枠でNSAが出席していてもよさそうな?

      だねぇ
      対テロ、対共産主義に合意するならバックドアを用意しろ拒否すればどうなるかわかるよな?
      みたいな無言の圧力で集めたセキュリティサミットでしょ
      構図として踏み絵会場って感じにしかなりようがなさげ

      NSAを表に出さないことで名目上の言い訳にって感じなんかね

      # 民間の二次会で上手いことなんとか頑張ってもらおう

  • by Anonymous Coward on 2022年01月18日 19時26分 (#4186636)

    Apacheを集めると聞いて、居留地からアパッチ族の方々を呼び出すのかと思った。

    • by Anonymous Coward

      > アパッチ族

      スラドでそれはないだろう。
      アメリカなんだから攻撃ヘリのことですよ。

      • by Anonymous Coward on 2022年01月18日 21時40分 (#4186685)

        ソフトウェアとしての Apache の語源 (後付けかもしれないが) をご存じない?

        親コメント
        • by Anonymous Coward

          ガンシップと同じ語源ですよ。まああれげ=ミリオタと勘違いした人のボケですわ。

          • by Anonymous Coward on 2022年01月19日 0時10分 (#4186730)

            ミリオタとか関係ないですよw
            apache族も攻撃ヘリもみんな知ってますが、今はそんな話はしてません。

            まずWebサーバのapacheは “A patchy web server” が語源、というネタがあって
            それを踏まえて「Apache の語源 をご存知でない?」とか「アパッチを集める」って周りの人は言ってるんです

            親コメント
            • Re: (スコア:0, おもしろおかしい)

              by Anonymous Coward

              これだから中高年のオッサン嫌われるんだよって模範解答やな

              • by Anonymous Coward

                ん、現代的なスラドの模範的スレッド。これはこれで美しい。

      • by Anonymous Coward

        非協力的な企業をヘリで襲撃するんですね

    • by Anonymous Coward

      シャーマンファイトでも始めるのか?

      • by Anonymous Coward

        きっと、某氏を召喚する儀式や踊りに必要になると思って呼ぶように手配したけど、来てみたらアパッチはアパッチでもアパッチ違いだったのかも(^_^;)。

        さて、召喚予定だった某氏とは誰か?

        * ジョブズ†
        * ビル
        * 優しい終身の独裁者
        * RMS
        * NOTA

        生霊も混じってるかな。

        #でも、なんでオープン陣営ばかりで、自由陣営が招待されなかったのだろうか?自由人だからバックレた?

        • by Anonymous Coward

          帽子はマジ干されてるの分かってるんだろうなって
          オラつき仕草みてて草。。。いや不謹慎だこれは

      • by Anonymous Coward

        野球では

    • by Anonymous Coward

      軍用ヘリが飛んできます

    • by Anonymous Coward

      "a patch"を集めるの間違いかもしれない。
      修正パッチ応募は一人一個まで。

      • by Anonymous Coward

        それはマジでApacheの語源。
        メンテ放棄されてたNCSA httpdにパッチ当てまくって作ったからそう名付けられた。

  • by Anonymous Coward on 2022年01月18日 21時01分 (#4186674)

    多数ある個人開発のOSSも星の数ほどあるのに
    お偉いさん集めて話し込んでもなぁ・・・金払えば問題解決するとも思わないし他人のコードほど読みにくいのもないってわけで

    • by Anonymous Coward

      (Larry Wall曰く)読みにくくてもほら、動くでしょう?

      • by Anonymous Coward on 2022年01月19日 1時13分 (#4186742)

        だからPerlはクソなんだと思ってた。
        素人が書いたVBAメンテさせられるまでは。

        親コメント
        • by Anonymous Coward

          素人が書いたのなら、VBAに限らずどんな言語でもメンテしづらいのは一緒だろ

          • by Anonymous Coward

            素人にも限度がある。
            ある程度は基礎知ってないと動くコードが書けない言語と、論理演算も知らない奴が書いて(?)も動いてしまう言語では格が違う。

            • by Anonymous Coward

              実は(手堅いはずの)C++でも同じことで、どうとでも書けてしまうから、読めないものはどうにも読めない。

    • by Anonymous Coward

      FSFは呼ばれてないんだな。反政府的なのがダメなのか、需要視されてないのか

  • by Anonymous Coward on 2022年01月18日 21時44分 (#4186687)

    OSSから十分に恩恵を受けてると思う企業は寄付金を出せという話だと思う。
    誰も寄付しなきゃそれまでのプロジェクト。ボランティアの気力が続かなくなれば畳むしかない。

    あとカネ出すにしてもOSS界隈の人たちは影響力を嫌うので見返りを求めない純粋な寄付であること。
    政治献金と同じだ。社会奉仕活動の一環。

    • by Anonymous Coward

      OSSから十分に恩恵を受けてると思う企業は寄付金を出せという話だと思う。

      これにも副作用があってというかもはや麻薬っていう
      大口あるからと喜んでだらもう他に金回す脅されて言いなりになったり

      # Gの資本依存になって腐ったとことかあったしなぁ

    • by Anonymous Coward

      あとカネ出すにしてもOSS界隈の人たちは影響力を嫌うので見返りを求めない純粋な寄付であること。

      そこまで言っちゃうと「献金を大量に受けたけどセキュリティに使わないOSSプロジェクトには、OSS界隈側で自浄作用を働かせるのか?」になるよね。

      それすら「影響力を嫌う」とか言い出したら、それこそ「社会の安全のために、OSS纏めて禁止しろ」に向かいかねないよ?

      # もう少しマイルドに「献金の●●%以上をセキュリティに使ってないOSSは禁止」とかもあり得るか

      • by Anonymous Coward

        会計報告の開示だけ義務付ければ十分じゃね?
        セキュリティに予算を割かなければ次から献金が集まらなくなるだけ。

        • by Anonymous Coward

          それだと結局、じゃあOSSの安全を担保するにはどうすりゃいいんだ?に戻るような。

    • by Anonymous Coward

      お前らも使ってるものならちゃんと面倒みろよ、という態度なのかもしれないけどね
      その場合は直接金出すよりもコミュニティに人手を出す事を求められてるのかも

  • by Anonymous Coward on 2022年01月18日 22時07分 (#4186696)

    簡単にソフトウェアを作れすぎる現状に問題がありますね
    ここまでソフトウェアが社会を動かす存在になった以上、しかるべき機関を作りしかるべく認証をすることです
    MicrosoftやAppleなどは自OSで動くソフトウェアを審査し、基準を満たせないものは使用禁止となっていくでしょう

    しかし使う側も無罪かと言えばそうではありません
    直近のjsライブラリの事件を例に出すまでもありませんが
    得体のしれない誰が開発したのかプロジェクトの中の人しか分からないようなものを社会のインフラとして扱うような
    そんな不誠実なことをする企業は社会の信頼を失いいずれ消えていきます

    OSSでも何でも使って安く作れば俺の勝ち、という時代は終わりつつあるように感じます

    • 全く現実味が感じられないんだけど。

      バイナリの配布は署名必須とかで防げるにせよ、ソースコードを公開するのまで機関の認証が必須なんて無理じゃない?そんなの防げる組織があったら、インターネット上の検閲とかし放題だよね。

      使う側の責任は問えなくはないけど、log4jの件ってOSSだから起きたとは言い難いし。
      既存のOSSに依存しない環境なんて現状、作るの至難じゃない?誰がどう責任を担保するようにしたいの?

      親コメント
    • by Anonymous Coward

      MicrosoftやAppleなどは自OSで動くソフトウェアを審査し、基準を満たせないものは使用禁止となっていくでしょう

      これは、第三者の審査機関にやってもらいたいね。

      今後はプログラムの作成は免許制になるのかな?審査機関のコードレビューを通したプログラムだけが、他者に使ってもらえる、みたいな。

    • by Anonymous Coward

      痛しかゆしな部分ですね。

      審査も最近はソフトウェアが複雑化して(しすぎて)いますし、さらにプログラミング用AIが開発・投入された事でより複雑さが増している。

      某サイトがAIで脆弱性をスキャンする機能を搭載可能であるとしてたけど、今回の脆弱性を審査で発見可能か追試する学者様いらっしゃることを期待。

      しかし、この不完全な世界には完全無欠な人間がいないように、完璧なモノは存在しえない以上、どこに妥協点をおくかは各自の選択肢になるが、かなりヘビーな人生ゲームだね!

      昔読んだ、お話おいておきます。

      読む権利 リチャード・ストールマン著 - GNU
      https://www.gnu.org/philosophy/right-to-read.ja.html [gnu.org]

      #奴隷になる選択肢が選択可能という自由は、はたして真の自由なのか?いまだに問い続けています。

    • by Anonymous Coward

      得体がしれようと、しれまいと、脆弱性の対応を誠実にやってくれる所であれば今後も頼っていくのだと思いますよ。
      結局のところ、そのソフトを開発した創始者に改修対応してもらえるのが本来はベストな訳ですから。

      例えば Windows 10 は使っても Windows XP をもう使わないのは、認証の有り無しよりも、セキュリティ面でのサポートが受けられないからだと思います。

  • by Anonymous Coward on 2022年01月18日 22時42分 (#4186709)

    OSSの脆弱性に懸賞金かけたらかなり穴塞げると思う
    ビッグテックが自社のプロダクトにやってるように。
    そういうバウンティハンターが稼げる道を作ればともすれば厄介なクラッキング側に回りかねないモラルのボーダーラインにいる奴らも取り込めるし一石二鳥

    • by Anonymous Coward

      そんな仕組み一瞬で破綻しますよ。

      何故なら
      俺みたいな奴が、匿名でオープンソースの開発に参加して、こっそりセキュリティホール仕込んで
      別の名前で脆弱性を発見したってレポート投げてボロ儲けできるからです。全然、解決にならない。

      • by Anonymous Coward

        コミッターにプルリクDDOS仕掛けてパンクさせて判断力鈍らせた時に…
        ってのもありうるか。

      • by Anonymous Coward

        匿名で参加してもレビュー通らないだろ。

  • by Anonymous Coward on 2022年01月19日 5時39分 (#4186761)

    サミットと言われて思い出すのは、、、エクストリーム社の紫色サミットスイッチ

    (*´Д`)ハァハァ

  • by Anonymous Coward on 2022年01月19日 8時25分 (#4186782)

    >IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべき

    地味で面倒で厄介な仕事はヤダヤダ、楽しいhackだけしていたい  というOSS開発者の本音が透けて見えて失笑

    • by Anonymous Coward on 2022年01月19日 14時21分 (#4187017)

      それOSS開発者に限らず大体の労働者の本音やで。

      だからこそみんなが面倒で避けがちな仕事に対して
      ・仕様を統一して面倒さそのものを軽減しよう(政府からの提言の一つ)
      ・面倒に見合う報酬を用意してコミュニティをサポートし(て人を集め)よう(GoogleおよびAlphabetのCLOの提言)
      ってのが出てきてる。

      ところで、GoogleおよびAlphabetの現CLO(ケント・ウォーカー)はOSS開発者なん?

      親コメント
  •  とかを、100年後くらいまでにやるとして、
    How much?とかの話な様な(走召糸色木亥火暴)

    --
    ------------------------------ "castigat ridendo mores"
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...