近年のソフトウェア開発において、オープンソースソフトウェア(OSS)サプライチェーンは重要な役割を果たしています。しかし、OSSの依存関係の維持不足やコミュニティによる監査の不十分さが問題であり、高度に隠蔽されたバックドア攻撃のリスクが懸念されます。この記事では、OSSにおけるバックドアリスク評価のための精緻なプロジェクト評価フレームワークを提案しています。このフレームワークは、攻撃者の視点からバックドア攻撃をモデル化し、攻撃段階ごとにターゲット指標を定義します。また、リポジトリのメンテナンス活動の信頼性評価における静的分析の限界を克服するために、大規模言語モデル(LLM)を用いて手動で作成したパターンに依存しない意味的評価を行います。フレームワークはDebianエコシステム内の66の優先パッケージで評価され、現行のOSSサプライチェーンがさまざまなセキュリティリスクにさらされていることを示しています。