Snyk が Linux Foundation の協力によりまとめた報告書「State of Open Source Security 2022」によると、オープンソースパッケージの依存関係によりソフトウェアサプライチェーンの複雑さが増し、脆弱性の修正にかかる時間が長くなる傾向がみられるそうだ(プレスリリース、 BetaNews の記事)。

オープンソースパッケージは現代的なアプリケーションで重要な要素となっており、開発者は数多くのオープンソースパッケージをプロジェクトで使用する。プロジェクトごとの直接的な依存関係は平均 80、最も多い JavaScript プロジェクトでは平均 174 まで増加する。依存関係は直接的なものだけでなく、推移的 (間接的) な依存関係もある。推移的依存関係は見えないリスクを生むだけでなく、修正も困難だ。脆弱性全体の 40 % が推移的依存関係で見つかっており、プロジェクトごとの平均的な脆弱性の数 49 に対し、18 ～ 20 が推移的依存関係から発生することになる。

その一方でオープンソースソフトウェア (OSS) の開発・利用に関するセキュリティポリシーを確立している組織は 49 %。組織内の OSS のセキュリティを信頼していないという回答は 41 % にのぼる。ただし、72% は 2022 年末までにある程度以上のセキュリティを確保できると回答しているという。オープンソースプロジェクトで脆弱性が修正されるまでの (平均) 時間は 2018 年の 49 日間から 2021 年には 110 日間まで増加しており、プロプライエタリプロジェクトよりも 18.75 ％ 長い時間を要するとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | デベロッパー |

関連ストーリー：
国内でVLC media playerの脆弱性を利用したサイバー攻撃。PC Matic発表 2022年05月18日
解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 2022年04月19日
cURLの作者に大企業から「log4j脆弱性に対する24時間以内の無料サポートを求める」メール届く 2022年01月27日
log4j問題等を受け、米政府がGAFAやApacheらを集めたOSSセキュリティサミットを開催 2022年01月18日
人気オープンソースプロジェクトの脆弱性、1年で倍増 2020年06月11日

ファイルの種類(MIME Type)を識別するライブラリであるMimeMagicで発覚したGPL問題が波紋を広げている。

MimeMagicは従来MIT Licenseでライセンスされるオープンソースソフトウェアであったが、コアとなるマジックナンバー識別データベースのfreedesktop.org.xmlが、GPL v2.0でライセンスされるfreedesktop.org/shared-mime-infoの成果物であることが判明(minad/mimemagic Issue #97)。

GPLでライセンスされるファイルと一体のものとして提供されるソフトウェアは、同じくGPLでライセンスすることが再配布の条件となる。MimeMagicのメンテナは、即座にライセンスをGPL v2.0に変更した新しいバージョンをリリースすると共に、誤ったライセンスを適用していた過去のバージョンをパッケージマネージャーのRubyGemsから取り下げた。

その結果、MimeMagicの過去のバージョンに依存していたソフトウェアがビルドできない事態に発展。著名なWebアプリケーションフレームワーク「Ruby on Rails」もそのひとつで、新しいGPLのMimeMagicを使うのか、別の代替ライブラリを使うのか、オンザフライで識別データベースを読み込むのか、自前でファイルを識別するのか、難しい判断を求められている(minad/mimemagic Issue #98, rails/rails Issue #41750)。

すべて読む | オープンソースセクション | オープンソース |

関連ストーリー：
Freedb、3月末で終了 2020年03月02日
GPLなOSSを使っているNEOGEO Arcade Stick Pro、ソース開示を求めた結果微妙なものが出てくる 2019年12月03日
ドンキPBのネットワークカメラ、Linuxの痕跡が確認されるも開発元は「Linuxを使っていない」と主張、ソースコード開示を拒む 2019年05月08日
Tesla、オープンソースライセンスに従ってソースコードを公開 2018年05月24日
GnuPG2のフォーク「NeoPG」、開発中 2018年01月05日
OSSを利用する多くのソフトウェアで脆弱性対応の不備やライセンス問題が存在する 2017年04月24日
WordPress創設者、Wix.comに対しコードを盗んだと非難 2016年11月05日

オープンソース・グループ・ジャパンは11月30日、「オープンソース商標イニシアティブ」(Open source TradeMark Initiative:OTMI)をスタートさせた（– Open Source Group Japan – オープンソース・グループ・ジャパン）。理事長はスラドでもおなじみの佐渡秀治氏。OTMIは、最近顕在化しているオープンソースプロジェクトの商標登録や管理を支援するプロジェクトであるという。

設立の背景としてはPublickeyの記事が詳しいが、国内でもPythonの商標のように、オープンソース関連の商標権を無関係の企業に登録されてしまう事例が増えている。しかし、ボランティア主体のプロジェクト管理者では、弁護士または弁理士などの協力も必要となる商標管理問題に対処することは難しい。また登録するにしても費用も発生することになる。OTMIではそうしたオープンソースにおける商標登録や管理を支援する役割を担うとしている。

公式サイト上では取り組みの方針としては以下のような項目を挙げている

• 1. 商標登録の啓蒙と登録のための金銭を含む支援
• 2. コミュニティ向けの標準的な商標利用許諾ガイドラインの作成
• 3. 係争への積極的介入
• 4. コミュニティからの委託または寄贈を受けて、自ら商標を取得、管理、運用

すべて読む | オープンソースセクション | オープンソース |

関連ストーリー：
Googleがオープンソースプロジェクトの商標管理団体を設立。すでに3種類の商標を移管 2020年07月15日
第三者によりPythonの商標が取られる 2019年07月23日
Pythonの商標出願を行った英企業CEO、「Python」についてはよく知らなかった 2013年02月20日
英企業が「Python」の商標をEUで出願 2013年02月16日