����
���W

��Ƃ�OSS�����e�i�[�Ɂg�������h�@���̕����͂����������̂��H�FCybersecurity Dive

�I�[�v���\�[�X�\�t�g�E�F�A�̊J���҂Ɗ�Ƃ��͂��߂Ƃ����\�t�g�E�F�A���[�U�[�Ƃ̊Ԃɂ́A�ˑR�Ƃ��Ċi�������݂��Ă���B�\�t�g�E�F�A���[�U�[�������Z�L�����e�B������߂����ŕK�v�ȓ��������Ȃ����߁A���̕����͕ς���Ă��Ȃ��B

[David Jones�CCybersecurity Dive] PC�p�\�� �֘A���
Share
Tweet
LINE
Hatena
Cybersecurity Dive

�@�f�[�^���k�\�t�g�uXZ Utils�v��_�����\�[�V�����G���W�j�A�����O�̃L�����y�[�������s����Ă��琔�J�����o�߂��A�I�[�v���\�[�X�̃����e�i�[�����́A����܂ňȏ�ɍ����Z�L�����e�B������߂��Ă���B

�@�����������e�i�[���T�|�[�g����Tidelift��2024�N9��17���i���n���ԁA�ȉ����j�ɔ��\�������|�[�g�ɂ��Ɓi��1�j�A�����e�i�[�̑唼�͈ˑR�Ƃ��Ė���V�̂܂܂��Ƃ����B

��Ƃ������e�i�[�Ɂg�������h���镗���͂��‚ɂȂ����琥�������H

�@�����N�ɂ킽��\�[�V�����G���W�j�A�����O�U�����AXZ Utils�Ƃ��������́uLinux�v�f�B�X�g���r���[�V�����Ŏg���Ă���f�[�^���k�\�t�g�E�F�A��W�I�ɂ��Ă���i��2�j�A�U����2024�N3�����Ƀs�[�N�ɒB�����B���̂Ƃ��U���҂Ǝv����҂�xz���C�u�����[�Ɉ��ӂ̂���R�[�h��}�������B�uGitHub�v����ɃA�J�E���g���~�����u@JiaT75�v�Ƃ����l���̓��C�u�����̐����ȃ����e�i�[�Ƃ̊ԂɁA���N�������ĐM���֌W��z���Ă����B

�@Tidelift�̒����ɂ��ƁA�����e�i�[�͈ȑO�̖�3�{�̃��\�[�X���Z�L�����e�B�ɔ�₵�Ă���A�Ǝ�i�������Ⴍ�j���̒�����A��荂���\�t�g�E�F�A�Z�L�����e�B��ւ̏��������߂��Ă���B�����e�i�[�̖�3����2�́u�R���g���r���[�^�i��e�ҁj�ɑ΂���M���x���ቺ���Ă���v�Ɖ񓚂����B

�@�񍐏��ɂ��ƁA�I�[�v���\�[�X�R�~���j�e�B�[�ɑ΂����Ƃ̗v���ƁA�����̐l�X�������鑊�ݐ��̌��@�Ƃ̊Ԃɂ͈ˑR�Ƃ��ăM���b�v�����݂��Ă���B

�@�����̃R���v���C�A���X�Ɋ֘A���鈳�͂������Ă���ɂ�������炸�A��5�l��3�l�̃����e�i�[�͖���V�̂܂܂ł���B44���̃����e�i�[�͕�V��]��ł��邪�A���݂̂Ƃ���x�����Ă��Ȃ��悤���B16���̃����e�i�[�͈ˑR�Ƃ��Ė���V�̎�̂悤�Ȋ��������Ă���A��V�����߂Ă��Ȃ��B

�@�č��y���S�ۏ�ȃT�C�o�[�Z�L�����e�B�E�C���t���X�g���N�`���Z�L�����e�B���iCISA�j��z���C�g�n�E�X�i�ĘA�M���{�j�A���̑��̋@�ւ̓I�[�v���\�[�X�̃Z�L�����e�B�ւ̓���������������g�݂𐄐i���Ă��邪�A�ƊE�֌W�҂͂���Ȃ�x�����K�v���ƍl���Ă���i��3�j�i��4�j�B

�@Tidelift�̃h�i���h�E�t�B�b�V���[���i�����n�ݎҌ�CEO�j�́A�d�q���[���Ŏ��̂悤�ɏq�ׂ��B

�@�u2024�N�ɁA�敾�����{�����e�B�A�̃����e�i�[��_����XZ Utils�̎������N�����ɂ�������炸�A�命���̃����e�i�[���ˑR�Ƃ��Ė���V�ł̊������l���Ă��邱�Ƃ��c�O�Ɏv���B���������󋵂Ɋׂ闝�R�͎��ɊȒP���B�I�[�v���\�[�X���g�p���Ă��鑽���̑g�D���A�I�[�v���\�[�X�\�t�g�E�F�A�̃T�v���C�`�F�[���̌��S���ƃZ�L�����e�B�ւ̓�����D�悵�Ă��Ȃ����߂��v

�@�ȑO�Ɣ�r���āA�����e�i�[�̓Z�L�����e�B�̋��������߂�ƊE�̎��g�݂�F�����Ă���B�Ⴆ�΁A�񓚎҂�40���́uOpen Source Security Foundation�iOSSF�j��Scorecard�Ƃ����v���W�F�N�g��m���Ă���v�Ɠ����Ă���A�����1�N�O��28�����瑝�����Ă���B

�@�܂��A�����e�i�[�̖�5�l��2�l�́A�č������W���Z�p�������iNIST�j�ɂ��Secure Software Development Framework��F�����Ă���A�����1�N�O��26�����瑝�����Ă���B

�@�S�̂Ƃ��ă����e�i�[�́u�v���W�F�N�g�̃Z�L�����e�B���m�ۂ��邽�߂ɁA��葽���̎��ԂƘJ�͂��₵�Ă���v�Əq�ׂĂ���B

�@Python���C�u�����uurllib3�v�̃I�[�v���\�[�X�����e�i�[�ł���Z�X�E���[�\�����́i��5�j�A���̂悤�ɏq�ׂĂ���B

�@�u�s���g�p�ɑ΂���ÓI��͂����{���A�x�����G���[�ɕς���e�X�g�����s���A�p�~�\��̋@�\���������Ă���v

�@�i���Ǘ��ɂ�葽���̘J�͂𒍂������łȂ��A�����e�i�[�����̓v���W�F�N�g�ɍv������҂ɑ΂��Ă�葽���̎�������Ă���B���[�\�����́u�v�����N�G�X�g�i�ύX��āj�́A���̒�o�҂ł͂Ȃ����e�Ɋ�Â��Ĕ��f�����v�Əq�ׂĂ���B

�@�Ⴆ�΁A���[�\�����͋��������e�i�[�����J�v���t�B�[����ߋ��̃v���W�F�N�g�ɍv�����Ă��邩�ǂ������m�F���Ă���B

�@�I�[�v���\�[�X�R�~���j�e�B�[�S�̂ł́A���ݓI�ȋ��ЂɊւ����葽���̏������L���Ă���B2024�N5���ɁA�����x���̂��߂̋��Ћ��L�v���b�g�t�H�[���𗧂��グ��OSSF�́i��6�j�A�R�~���j�e�B�[�ɑ΂��āA�\�[�V�����G���W�j�A�����O�̎��݂ƐϋɓI�Ɉ��p�����Ǝ㐫�Ɋւ���ʒm�����{���Ă���B

�i��1�j60% of maintainers are (still) not paid for their work�iTIDELIFT�j
�i��2�jMotivations behind XZ Utils backdoor may extend beyond rogue maintainer�iCybersecurity Dive�j
�i��3�jCISA to big tech: After XZ Utils, open source needs your support�iCybersecurity Dive�j
�i��4�jWhite House details $11M plan to help secure open source�iCybersecurity Dive�j
�i��5�jSeth Michael Larson�iSeth Michael Larson�j
�i��6�jOpen source threat intel platform launched weeks after malicious backdoor targeted XZ Utils�iCybersecurity Dive�j

© Industry Dive. All rights reserved.

�y�[�W�g�b�v�ɖ߂�