| PC/IT
どんな報告がくるかな
「XZ Utils」にバックドア、オープンソースエコシステム全体の信頼を揺るがす事態に
Linux環境で広く利用されているツール「XZ Utils」に3月29日、バックドアが発見されたとのこと(CVE-2024-3094)。Red Hatが評価した「CVSS 3」のベーススコアは、「10.0」(Critical)。長い時間をかけてプロジェクトオーナーの信頼を勝ち取り、メンテナンスを任された開発者が意図的に混入させたという悪質性や、当該ツールが複数の主要なLinuxディストリビューションで採用されており、「OpenSSH」をはじめ影響が広範囲に及ぶ点などが話題を呼び、オープンソースソフトウェアのサプライチェーンのあり方が問われる事態となっている。
- 窓の杜 -
この話題は週末にXとかで見かけていましたが、週が明けて各ニュースメディアに出てきましたね。
こういうのが他でも見つかると、会社とかでベンダーサポートのないOSSは利用を禁止されかねない…。
OSSのプロジェクト体制なんてピンキリでしょうし、ソースコードが公開されているといってもほとんどの利用者が中身を見て理解しているわけでもないので、何をもって信用すればいいのか難しいところです。
とはいえなんでこうなったというのはあるので、とりあえず詳細待ちですかね。
