オープン・ソース・ソフトウェアは、しばしばプロプライエタリ・ソフトウェアよりも安全でセキュアだと考えられています。ユーザは、自分の環境で実行されているコードの出所を知ることができます。自分の環境で動いているコードのすべての部分をレビューすることができ、それぞれのコードの開発者を追跡することができます。
しかし、ユーザーとプロバイダーは、ソフトウェアを完全にコントロールすることから生じる複雑さから離れ、その利便性と使いやすさに目を向けつつあります。
VMwareの副社長兼チーフ・オープンソース・オフィサーであるDirk Hohndel氏は、「サイバーセキュリティとプライバシーに関する講演で、講演者がインターネットからダウンロードしたランダムなバイナリファイルをインストールして実行するために、docker runコマンドを実行しているのを見ると、私はしばしば驚かされます。この2つのことは少し矛盾しているように思えます。"
ソフトウェアのサプライチェーン、すなわち、アプリケーションのコーディングからパッケージング、そしてエンドユーザへの配布に至るプロセスは、非常に複雑です。これらのリンクの 1 つにエラーがある場合、特にオープンソースソフトウェアの場合、潜在的に危険なソフトウェアにつながる可能性があります。悪意のある行為者は、バックエンドにアクセスし、ユーザの認識や制御なしに、可能な限りの悪意のあるコードを挿入するこ とができます。
このような問題はクラウドネイティブの分野だけでなく、JavaScript、NPM、PyPI、RubyGemsなどを含む最新のアプリケーション開発ではよくあることです。MacのHomebrewでさえ、かつてはソースコードで提供され、ユーザーがコンパイルしていました。
