ソフトウェアの信頼危機:なぜソフトウェアを信頼しなければならないのか(ほとんどの場合)

2024-12-31

この記事は、ソフトウェアを信頼するという難しい問題を探っています。著者は、安全なメッセージングアプリでさえ、ベンダーへの信頼に依存していること、オープンソースソフトウェアにおける膨大なコード量のためにレビューが非現実的であること、コード署名は整合性を検証するが、ユーザーの注意に依存しており、簡単に回避できることを主張しています。この記事は、コード署名、ブラックリスト、自動更新、パッケージマネージャーなど、ソフトウェアサプライチェーンにおける脆弱性を深く掘り下げています。また、再現可能なビルドやバイナリ透過性などの技術を紹介して、ソフトウェアへの信頼性を向上させようとしていますが、最終的には、これはまだ解決されていない問題であり、ソフトウェアベンダーを信頼せざるを得ないという不快な現実が残っているという結論に至っています。