フリー・アンド・オープンソース ソフトウェア (FOSS) は、現代の経済で欠かせないものになっています。FOSSは今や全ソフトウェアの80〜90%を占めていると推定されており、また、ソフトウェアはほぼすべての産業でますます不可欠な資産になっています。このFOSSへの大きな依存は、公的部門と民間部門の両方で共通しており、技術組織と非技術組織の間でも同様です。したがって、FOSSの健全性とセキュリティの確保は、現代の経済のほぼすべての産業の将来にとって非常に重要なものになっています。
FOSSエコシステムのセキュリティと持続可能性の状況、および組織や企業がそれをどのようにサポートできるかをよりよく理解するために、Linux Foundationの Core Infrastructure Initiative (CII) とハーバード大学の Laboratory for Innovation Science at Harvard (LISH) が協力し、オープンソース ソフトウェアのセキュリティを改善することによってサイバー セキュリティ強化の先制的なアプローチを取るというより大きな取り組みの一環として、FOSSのコントリビューターの広範囲な調査を実施しました。
これらの取り組みは、重要なプロジェクトのセキュリティ強化をめざす Open Source Security Foundation (OpenSSF) ワーキンググループに最近組み込まれましたが、オープン ソフトウェア、特にグローバルな情報インフラストラクチャにとって重要なソフトウェアをサポート、保護、強固にすることを目的としています。
FOSSコントリビューター調査レポート(2020年度版)では、FOSS開発者を対象とした2020年の調査結果を分析しています。
本調査の主な目標は、FOSS、特に現代の経済が広く依存しているFOSSのセキュリティ(持続可能性を含む)を向上させるための最善の方法を明らかにすることです。具体的には本調査を通じて
「最も広く使用されているFOSSプロジェクトの適切な保守とセキュリティ確保をより奨励するにはどうすればよいか?」
という質問への答を得ようと努めています。
重要なのは、本調査を実施するにあたり、調査チームはセキュリティの全体像を把握する試みを行いました。調査参加者を募集するための方法論としては、「CII Census II Preliminary Report — Vulnerabilities in the Core (CII国勢調査2版 予備報告書-コアの脆弱性)」に収められた以前の調査を通じ、広く使用されていると特定されたFOSSプロジェクトへのコントリビューターを重視しました。
現代の経済の基盤を支える重要なインフラストラクチャとして、今や世界がFOSSに依存していることを踏まえて、FOSS のセキュリティと持続可能性を改善していくための重要な課題を明らかにすることが目標でした。
FOSS コミュニティの代表的な人々を抽出するために、調査チームは、最も広く使用されているオープンソース プロジェクトのコントリビューターに調査票を送付しました。これは、セキュリティのより技術的な側面を捉えるとともに、より「人間的な側面」も考慮しました。
調査には、コントリビューターのモチベーションと関与のレベル、FOSSへの企業の関与、およびコントリビューション行為に対する経済的配慮の役割に関する質問が含まれていました。本調査は以下のトピックスに重点を置いています。
- 人口統計:FOSSコントリビューターの人口統計はどのようなものか? 特に、性別、雇用状態、地理的分布を調査
- モチベーション:FOSSへのコントリビューションを始めた、継続している、または止めた理由は何なのか? プロジェクトはどのようにしてコントリビューターの確保、維持ができているのか? また、コントリビューターは自分の雇用主や他の人が自分の仕事を評価していると感じているのか?
- 報酬:何人のFOSSコントリビューターがFOSSでの作業に対して、報酬を得ているのか? その報酬は、誰から (例えば、雇用主、企業スポンサー) ? 報酬を得ていない場合は、それがセキュリティや持続可能性の大幅な低下につながるか?
- 費やす時間:コントリビューターはFOSSへのコントリビューションにどのくらいの時間を費やしているか、また、どの程度費やしたいと思っているのか?セキュリティの問題に費やす時間を増やすことに関心があるか?
- 支援:外部からの支援はどのようなものがセキュリティの向上に役立つか (例えば、コードのコントリビューションや資金提供など) ?
- 現在の活動:回答者が参加しているFOSSプロジェクトでは、どのようなセキュリティ関連の活動が行われているか?
- 教育/トレーニング:セキュアなソフトウェアの開発と運用において、FOSSのコントリビューターはどの程度、教育/トレーニングを受けたか? どんな方法でそれを受けたか?
本調査実施の目標は、FOSS のセキュリティと持続可能性の現状を理解し、それらを改善し、FOSS の将来にわたる成長を確保するのに役立つ方策を明らかにすることでした。特に、本調査では、技術的な側面よりも FOSS の「人間的な側面」に焦点を当てましたが、この 2 つは確かに相互に関連しており、得られた調査結果は双方に関連したものになっています。
これらの結果は、FOSSの将来についての楽観論の理由(個人はFOSSコントリビューションを継続しているし、また、企業は FOSS に対してよりフレンドリーになってきており、一部の従業員のコントリビューションに報酬を支払うほどになった、など)だけでなく、懸念(特に、セキュリティ関連の取り組みの欠如、およびそのような取り組みの動機付けにおける潜在的な困難さ)も明らかにしています。
結局のところ、フリー・アンド・オープンソース ソフトウェアは、コミュニティ主導の取り組みであり、それらは、いくつかの現代の経済で最も重要な構成要素の開発を先導しています。本調査は、この重要な動的資産のセキュリティの重要性にハイライトを当てました。同様に、FOSS が将来の世代のためにセキュアで持続可能であることを保証するには、個人、企業、公的機関を含めて、コミュニティ主導の取り組みが必要です。
著者:
- Frank Nagle, Harvard Business School
- David A. Wheeler, The Linux Foundation
- Hila Lifshitz-Assaf, New York University
- Haylee Ham, Laboratory for Innovation Science at Harvard
- Jennifer L. Hoffman, Laboratory for Innovation Science at Harvard
本レポートは、以下を含む多くの媒体で取り上げられました。
- For the love of open source: Why developers work on Linux and open-source software by Steven J. Vaughan-Nichols, ZDNet, December 9, 2020
- FOSS Survey Explores Why and How Developers Contribute, FOSSLife Team, December 15, 2020
- Top Security Takeaways from the 2020 FOSS Contributor Survey, FOSSA, January 19, 2021
- Open Source Survey Reviews Project Security and Sustainability Issues, George Leopold, EnterpriseAI, December 8, 2020
- Security Requires Thinking (His Monkey, His Circus), David A. Wheeler, Dave & Gunnar Show episode 212, January 26, 2021
日本語版翻訳者:
- 工内隆(The Linux Foundation)
- 伊達政広(The Linux Foundation)
以下のボタンをクリックすると、レポートをダウンロードできます。
