オープンソースからバグを取り除く:重要なのは報奨金とエコシステムだ

Searching for Bugs in Open Source Code

2021/11/30 SecurityBoulevard — まずは、迷信の払拭から始めよう。オープンソース・ソフトウェアが、クローズドソース・ソフトウェアよりも、安全性が低いということはない。しかし、オープンソースのプログラムに脆弱性が発見されると、クローズドソースで発見された脆弱性よりも、はるかに容易に武器化し、悪用される傾向にある。これが、現実だ。

Bugcrowd の CTO である Casey Ellis は、電子メールによるインタビューで、「オープンソースの最大のリスクは、多くのオープンソース・プロジェクトが、人々が余暇を利用し愛情を込めて運営しているという事実に由来する。その人の 3分の2の時間と飼い猫により維持されているソフトウェアが、インターネットのかなりの部分を支えてしまうことも珍しくはない」と説明している。

Ellis は、そこには2つの大きなリスクがあると付け加えている。1つ目は、問題を修正するための帯域が限られているため、修正の時期が遅れることだ。つまり、オープンソースのエコシステムの、自己修復能力がボトルネックになってしまうことだ。2つ目は、支援の必要性に乗じて、敵対者がコードをプロジェクトに組み込むことが容易であることだ。さらにはソーシャル・エンジニアリングにより、敵対者が、プロジェクトの維持に責任を持つ悪の副官のような立場になることもある。

すべての組織において、オープンソースへの依存度が高まっている。GitHub のレポートによると、あらゆるデータにおいて、オープンソース・コンポーネントを全く経由していない状況を見つけることは、ほぼ不可能になっている。また、すべての産業分野でオープンソースコードが使用されており、脆弱性が悪用されると、大きなダメージを被る可能性がある。しかし、GitHub Octoverse Report によると、オープンソース・ソフトウェアの脆弱性を発見するには、平均で4年もかかるとのことだ。

バグバウンティの登場

脆弱性が発見されないまま、4年が経過するというのも長いため、バグバウンティ・プログラムを導入する企業が増えている。大手では、Apple/Facebook/Microsoft/AWS/Google などが、重大な問題を発見したセキュリティ研究者や倫理的ハッカーに対して、数百万ドルを支払うプログラムを実施している。

もう一つの例は、音声 SNS Clubhouseであり、HackerOne と提携している。HackerOne の共同設立者である Michiel Prins は、「Clubhouse の公開バグバウンティ・プログラムは、100万人以上のハッカーからなるグローバル・コミュニティを通じて、多様な人材で構成される社内セキュリティ・チームに対して、継続的なテスト・サポートを提供している。このバグバウンティ・プログラムの目的は、企業のオープンソース・コードに影響が出る前に、できるだけ多くの脆弱性を発見/修正することだ」と述べている。

BreachQuest の CTO である Jake Williams は、「バグバウンティは、いくつかの理由で重要だ。第一に、バグバウンティは、コードを分析して脆弱性を発見する、研究者を増やす動機付けになる。第二に、バグバウンティは、パッチが当てられた脆弱性のみを、研究者が公開するというインセンティブを与え、より安全なサイバー・セキュリティ環境を実現する」とメールでのコメントしている。

バグバウンティ・プログラムの開始

Ellis は、バグバウンティ・プログラムは、問題の半分を占める脆弱性を特定する際に有効だが (ソースコードが公開されていればなおさら)、この種の助けを必要としているプロジェクトに、オープンソースの修正プログラムを提供する、セキュリティに関心のあるエンジニアを引き寄せるという効果もある。

バグバウンティは誰もが実施できるが、プログラムの実行は非常に複雑だ。Jake Williams は、「優れたバグバウンティ実施計画を持たない組織は、報告された脆弱性に対して、迅速にパッチを当てられない場合の風評被害など、重大な問題に直面する可能性がある。これからバグバウンティ・プログラムを実施しようとしている組織は、第三者を雇うべきだ」と述べている。

Casey Ellis は、「自社で使用している製品に対して、詳細なセキュリティ調査/支援を行うだけではなく、報酬を負担する企業以外にも利益をもたらすプロジェクトに資金を提供することで、エコシステムに多大な利益をもたらし、インターネット・プロテクターとしての威信を高めることができる。また、誰が脆弱性を発見したのかは重要ではない。たとえ脆弱性を発見したのが、脅威アクターであったとしても、それは同じである」と述べている。

彼は、「オープンソースが示すのは、純粋な脆弱性管理におけるブラックハットとホワイトハットという呼称が、すぐに無意味になる理由である。つまり、コードベースは一般に公開されているため、実用的なフィードバックを提供する人物を制限しようとしても、実用的な利益は得られない」と指摘している。「結局のところ、組織は敵対者の潜在的な行動を、確実にコントロールすることはできない。しかし、いずれ登場する攻撃者を、困難な状況に追い込むような影響力は持てるだろう。この場合、重要なのは情報の内容であり、その出処ではなく」と述べている。

とても共感できる主張ですね。Security BoulevardDark Reading などは、どのように経済を作っていけば、そこで人々が生きていけるのかという、エコシステムから考えさせる記事を出してくれます。11月17日に「倫理的ハッカーたちを護れ:この一年で3兆円の経済効果を生み出している!」という記事をポストましたが、これも Security Boulevard でした。よろしければ、合わせて ど〜ぞ。

%d bloggers like this: