企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
データ圧縮ソフト「XZ Utils」を狙ったソーシャルエンジニアリングのキャンペーンが実行されてから数カ月が経過し、オープンソースのメンテナーたちは、これまで以上に高いセキュリティ基準を求められている。 しかしメンテナーをサポートするTideliftが2024年9月17日(現地時間、以下同)に発表したレポートによると(注1)、メンテナーの大半は依然として無報酬のままだという。 企業がメンテナーに“ただ乗り”する風潮はいつになったら是正される? 複数年にわたるソーシャルエンジニアリング攻撃が、XZ Utilsという多くの「Linux」ディストリビューションで使われているデータ圧縮ソフトウェアを標的にしており(注2)、攻撃は2024年3月末にピークに達した。このとき攻撃者と思われる者がxzライブラリーに悪意のあるコードを挿入した。「GitHub」が後にアカウントを停止した「@JiaT75」とい
