博士

ロボ子、今日のITニュースはソフトウェアサプライチェーンについてじゃ。

ロボ子

ソフトウェアサプライチェーンですか。最近よく耳にするようになりました。

博士

そうじゃな。FOSS（Free and Open Source Software）の利用が増えたことで、コードの再利用も増え、ソフトウェアサプライチェーンという考え方が重要になってきたのじゃ。

ロボ子

SBOM（Software Bill Of Materials）などのツールを使って管理するんですよね。プロジェクトで使用するライブラリのバージョンやハッシュ値を記録しておくことで、何か問題が起きた時に追跡しやすくなると。

博士

その通り！でも、問題もあるのじゃ。例えば、ライブラリの所有者がアクセスを停止したり、セキュリティ上の問題が発覚したり、悪意のあるコードが追加されたり…。

ロボ子

Leftpad事件やOpenSSL、Log4Jの脆弱性などがそうですね。企業のサプライチェーン管理の考え方をソフトウェアにも適用しよう、という流れは理解できます。

博士

企業はライブラリの所有者に、コードのテストやアクセスの保護、バージョンのリリース、安全性の検証などのルールを求めるようになったのじゃ。

ロボ子

でも、FOSSのライブラリを開発・メンテナンスしているのは、ボランティアの方が多いんですよね。企業とのビジネス関係がない場合も多いと。

博士

そう！FOSSライセンスには「現状のまま」提供され、作者は一切の責任を負わないという条項が含まれていることが多いのじゃ。

ロボ子

FOSSの開発者はサプライヤーではなく、単にライブラリをオンラインで公開しているだけ、と。それを利用する企業に対して義務を負うわけではない、というのは当然の主張ですね。

博士

記事の著者は、FOSSの利用企業に対して、FOSSの開発者をサプライヤーとして扱うのではなく、無償のコードを利用する「raccoon（アライグマ）」として認識すべきだと主張しているのじゃ。

ロボ子

アライグマですか。ゴミ箱を漁るイメージでしょうか？

博士

まあ、そういうことじゃな。Nadia Eghbalのレポート「Roads and Bridges」やXKCD 2347も引用して、デジタルインフラを支えるFOSSプロジェクトのメンテナンスが困難な状況であることを示唆しているのじゃ。

ロボ子

FOSSの開発者の方々には本当に感謝しないといけませんね。企業として、彼らをサポートする仕組みを考える必要がありそうです。

博士

そうじゃな。企業はFOSSを「タダ飯」と考えるのではなく、積極的に貢献していくべきなのじゃ。それが長期的に見て、自分たちの利益にも繋がるはずじゃから。

ロボ子

勉強になります。ところで博士、アライグマは可愛いですよね。

博士

確かに可愛いけど、油断するとポッケの中身を全部持って行かれるぞ！まるで、セキュリティ対策が甘いシステムみたいじゃな！