XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり?米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年4月12日(現地時間)に、ブログに「ユーティリティーソフトウェアである『XZ Utils』に対するサプライチェーン攻撃の悪質な試みを受けてオープンソースコミュニティーに、より多くのリソースを提供するように推進している」と投稿した(注1)。 XZ Utilsへの攻撃が暴き出した 企業の“OSSタダ乗り問題” CISAは「今回の攻撃はオープンソースソフトウェア(OSS)の消費者が貢献者と協力して、より強靭で安全なエコシステムを構築する方法に関する根本的な転換を求めるものであり、オープンソースコミュニティーをより適切にサポートする責任をテクノロジー業界に負わせた」と評した。 CISAのジャック・ケーブル氏(シニア・テクニカルアドバイザー)とエイバ・ブラック氏(オープンソースソフトウェア・セキュリティの
