日本シノプシスは14日、研究機関「Cybersecurity Research Center（CyRC）」が、企業の合併・買収の際に棚卸しした1703のソフトウェアを対象に匿名化したデータを分析したオープンソース·セキュリティ＆リスク分析レポートに関する説明会を開催した（オープンソース·セキュリティ＆リスク分析レポート、ZDNET Japan、IT Leaders）。

この分析によると、リスク診断を実施した1480のコード中、既知の脆弱性を一つ以上含んでいた割合は84％あったという。これは昨年比で4％の上昇だったそうだ。また、4年以上前のコードを含む割合は89％（こちらは昨年比4％上昇）だった。また、CyRCが2022年中に調査した企業が使用するソフトウェア1703本中、OSS（オープンソースソフトウェア）を含む割合は96％におよび、全コードにOSSが占める割合は76％だった。脆弱性を含むOSSの割合は84％で、ライセンスの競合が見つかったOSSは54％など増加傾向にあるとされる。

日本シノプシスの吉井雅人氏は「OSSを信頼すると同時に検証せよ。OSSのセキュリティはビジネスリスクに直結する。自らの責任でセキュリティを確保すべきだ。SBOM（ソフトウェア部品表）によるコンポーネントの可視化」が重要だと述べていたとのこと。

すべて読む | オープンソースセクション | オープンソース | セキュリティ |

関連ストーリー：
米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略 2023年03月04日
もじら組、フォーラムのサービス障害から約2年 2023年02月10日
いかにしてNvidiaはPascalとMaxwell-v2を殺したか 2022年12月02日
Linux Foundation から支援を受けることの是非、FOSS コミュニティで意見が分かれる 2022年11月19日
オープンソースプロジェクトの脆弱性修正にかかる時間が 3 年間で倍以上に増加したとの調査結果 2022年06月23日

あるAnonymous Coward 曰く、

IPMI管理ソフトウェアIPMItoolの GitHubレポジトリがアカウントごと凍結されている。開発者の所属企業がアメリカの輸出規制制裁リスト入りしたことが関係しているとみられる_{(また佐渡さんのツイートが元ネタかい)}

開発者によるLinkdInへのコメント

(後半のみDeep-L訳)彼らの、控えめに言っても奇妙な決定が、長期的には誰にも影響を与えないことを心から願っていますが、私は今、オープンソースコミュニティと政治（ちなみに、私は一度も参加したことがありません）を分離する、より敵意のないサービスを探しているところです。

(2018年にSourceForgeからGitHubへ移行していた)

IBM や Oracle 等のサーバベンダが自社サーバの管理手順としてIPMItoolを紹介している事例がたくさんあるがリンクは省略。その他のIPMI関連ソフトウェアのオープンソース実装はこんな感じ(ArchLinuxのWiki)

Sourceforgeに置かれているIPMItoolの公式の説明によるとアカウントが停止されたのは3月1日だったそうだ。現在は更新を停止したSourceforgeのプロジェクトページが唯一の連絡手段になっているとのこと（IPMItool News）。この件に関してはPhoronixやSemperUpdateといった海外サイトでも報じられている（Phoronix、SemperUpdate）。

すべて読む | オープンソースセクション | オープンソース |

関連ストーリー：
中国の大手サーバー企業の禁輸指定でNVIDIAとAMDが対応に苦慮 2023年03月11日
中国、地政学的緊張下でオープンソース依存の安全性を懸念 2022年06月29日
中国版GitHub「Gitee」に中国政府が検閲？全てのOSSコードが公開前にレビュー必須と説明 2022年06月02日
米商務省、中国スパコン関連の7団体をエンティティリストに追加へ 2021年04月09日

headless 曰く、

パスワードマネージャーサービスの Dashlane がモバイルアプリのソースコード (Android版 / iOS版) アプリをGitHubで公開した (Dashlane Blog の記事、 BetaNews の記事)。

ライセンスは Creative Commons Attribution-NonCommercial 4.0 で、誰もが Dashlane モバイルアプリのコードを監査して仕組みを理解できるようにするのが主な目的だという。現在のところ貢献を受け付けられる状況にはなく、セキュリティ上の問題は Hacker One のバグ報告報奨金プログラムで報告する必要があり、コードベースの改善点は Issue を開くか電子メールで連絡する必要がある。将来的には貢献者が改善点の提案を GitHub 上で直接行えるようにしたいとも考えているとのこと。なお、各プロジェクトのファイルは一部非公開のものがあり、公開されたソースコードだけでアプリをビルドすることはできないとのことだ。

すべて読む | オープンソースセクション | オープンソース |

関連ストーリー：
Apple Lisa、40 周年に合わせてソースコードがリリースされる 2023年01月25日
Metaが同社の大規模ソースコード管理システム「Sapling」をオープンソース化 2022年11月21日
AdGuard、世界初の Manifest V3 ベース広告ブロッカーを公開 2022年09月03日
キングジムの「テプラ」やパスワードマネージャーに脆弱性が見つかる 2022年01月20日
カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 2021年07月12日

自由な Fedora Linux を作る GNU Linux-libre プロジェクトの「Freed-ora」が終了した (Alexandre Oliva 氏のメーリングリスト投稿、 Phoronix の記事)。

現在の Freed-ora は Fedora 環境にインストールすると非フリーの RPM がインストールされていないか確認し、GNU Linux-libre カーネルをセットアップしてデフォルトのカーネルに設定。以降は非フリーのパッケージがインストールされないよう RPM のライセンスタグを確認するとのこと。

メインテナーを務めた Free Software Foundation Latin America の Alexandre Oliva 氏によれば、Freed-ora 開始当時の Linux は現在よりも多くのブロブを使用していたという。しかし、Freed-ora を Fedora プロジェクトの一部として維持するという提案は断られ、ソフトウェアの自由に対する Fedora の姿勢を知ることになった。Fedora から名前を変更するように求められたこともあるそうだ。

Oliva 氏は既に Fedora を使っておらず、代わりのメインテナーを探しても見つからなかったため Fedora 35 のライフサイクルが終わるまでという条件で引き続きメインテナーを務めていたという。このたび、Fedora 35 のライフサイクルが終了し、Freed-ora も終了する運びとなった。当面 Freed-ora のリポジトリは残されるが、Oliva 氏は RPM Freedom への移行を推奨している。

すべて読む | オープンソースセクション | Linux | オープンソース |

関連ストーリー：
Debian、公式イメージのインストーラーで非自由なファームウェアを同梱可能に 2022年10月08日
リーナス・トーバルズ氏がIntelのグラフィックスチームと過ごす 2022年10月05日
WordPerfect for UNIX、Linux に移植される 2022年07月24日
Lotus 1-2-3、Linux に移植される 2022年05月27日
完全に自由なオペレーティングシステム実現のためには簡単にインストールできない不自由さを我慢するべきか 2021年01月23日
FSF、「フリーなJavaScript」に向けたキャンペーンをスタート 2013年05月31日
NVIDIA、Linus氏の批判に対して声明発表 2012年06月22日
NDA にサインして GPL ドライバ開発ってどう？ 2007年02月17日

headless 曰く、

Snyk が Linux Foundation の協力によりまとめた報告書「State of Open Source Security 2022」によると、オープンソースパッケージの依存関係によりソフトウェアサプライチェーンの複雑さが増し、脆弱性の修正にかかる時間が長くなる傾向がみられるそうだ(プレスリリース、 BetaNews の記事)。

オープンソースパッケージは現代的なアプリケーションで重要な要素となっており、開発者は数多くのオープンソースパッケージをプロジェクトで使用する。プロジェクトごとの直接的な依存関係は平均 80、最も多い JavaScript プロジェクトでは平均 174 まで増加する。依存関係は直接的なものだけでなく、推移的 (間接的) な依存関係もある。推移的依存関係は見えないリスクを生むだけでなく、修正も困難だ。脆弱性全体の 40 % が推移的依存関係で見つかっており、プロジェクトごとの平均的な脆弱性の数 49 に対し、18 ～ 20 が推移的依存関係から発生することになる。

その一方でオープンソースソフトウェア (OSS) の開発・利用に関するセキュリティポリシーを確立している組織は 49 %。組織内の OSS のセキュリティを信頼していないという回答は 41 % にのぼる。ただし、72% は 2022 年末までにある程度以上のセキュリティを確保できると回答しているという。オープンソースプロジェクトで脆弱性が修正されるまでの (平均) 時間は 2018 年の 49 日間から 2021 年には 110 日間まで増加しており、プロプライエタリプロジェクトよりも 18.75 ％ 長い時間を要するとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | デベロッパー |

関連ストーリー：
国内でVLC media playerの脆弱性を利用したサイバー攻撃。PC Matic発表 2022年05月18日
解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 2022年04月19日
cURLの作者に大企業から「log4j脆弱性に対する24時間以内の無料サポートを求める」メール届く 2022年01月27日
log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 2022年01月18日
人気オープンソースプロジェクトの脆弱性、1年で倍増 2020年06月11日

packetroxy 曰く、

ファイルの種類(MIME Type)を識別するライブラリであるMimeMagicで発覚したGPL問題が波紋を広げている。

MimeMagicは従来MIT Licenseでライセンスされるオープンソースソフトウェアであったが、コアとなるマジックナンバー識別データベースのfreedesktop.org.xmlが、GPL v2.0でライセンスされるfreedesktop.org/shared-mime-infoの成果物であることが判明(minad/mimemagic Issue #97)。

GPLでライセンスされるファイルと一体のものとして提供されるソフトウェアは、同じくGPLでライセンスすることが再配布の条件となる。MimeMagicのメンテナは、即座にライセンスをGPL v2.0に変更した新しいバージョンをリリースすると共に、誤ったライセンスを適用していた過去のバージョンをパッケージマネージャーのRubyGemsから取り下げた。

その結果、MimeMagicの過去のバージョンに依存していたソフトウェアがビルドできない事態に発展。著名なWebアプリケーションフレームワーク「Ruby on Rails」もそのひとつで、新しいGPLのMimeMagicを使うのか、別の代替ライブラリを使うのか、オンザフライで識別データベースを読み込むのか、自前でファイルを識別するのか、難しい判断を求められている(minad/mimemagic Issue #98, rails/rails Issue #41750)。

すべて読む | オープンソースセクション | オープンソース |

関連ストーリー：
Freedb、3月末で終了 2020年03月02日
GPLなOSSを使っているNEOGEO Arcade Stick Pro、ソース開示を求めた結果微妙なものが出てくる 2019年12月03日
ドンキPBのネットワークカメラ、Linuxの痕跡が確認されるも開発元は「Linuxを使っていない」と主張、ソースコード開示を拒む 2019年05月08日
Tesla、オープンソースライセンスに従ってソースコードを公開 2018年05月24日
GnuPG2のフォーク「NeoPG」、開発中 2018年01月05日
OSSを利用する多くのソフトウェアで脆弱性対応の不備やライセンス問題が存在する 2017年04月24日
WordPress創設者、Wix.comに対しコードを盗んだと非難 2016年11月05日

オープンソース・グループ・ジャパンは11月30日、「オープンソース商標イニシアティブ」(Open source TradeMark Initiative:OTMI)をスタートさせた（– Open Source Group Japan – オープンソース・グループ・ジャパン）。理事長はスラドでもおなじみの佐渡秀治氏。OTMIは、最近顕在化しているオープンソースプロジェクトの商標登録や管理を支援するプロジェクトであるという。

設立の背景としてはPublickeyの記事が詳しいが、国内でもPythonの商標のように、オープンソース関連の商標権を無関係の企業に登録されてしまう事例が増えている。しかし、ボランティア主体のプロジェクト管理者では、弁護士または弁理士などの協力も必要となる商標管理問題に対処することは難しい。また登録するにしても費用も発生することになる。OTMIではそうしたオープンソースにおける商標登録や管理を支援する役割を担うとしている。

公式サイト上では取り組みの方針としては以下のような項目を挙げている

• 1. 商標登録の啓蒙と登録のための金銭を含む支援
• 2. コミュニティ向けの標準的な商標利用許諾ガイドラインの作成
• 3. 係争への積極的介入
• 4. コミュニティからの委託または寄贈を受けて、自ら商標を取得、管理、運用

すべて読む | オープンソースセクション | オープンソース |

関連ストーリー：
Googleがオープンソースプロジェクトの商標管理団体を設立。すでに3種類の商標を移管 2020年07月15日
第三者によりPythonの商標が取られる 2019年07月23日
Pythonの商標出願を行った英企業CEO、「Python」についてはよく知らなかった 2013年02月20日
英企業が「Python」の商標をEUで出願 2013年02月16日