特定のオープンソースプロジェクトが十分に成熟し、十分な人員を抱え、十分なセキュリティが達成されているかどうかを判断するには、どうすればいいだろうか。この問いに対する答えを見つけるのは容易ではない。2014年に世界を震撼させたOpenSSLの脆弱性「Heartbleed」によって、プロジェクトの知名度とセキュリティの信頼度が必ずしも比例しないことが、図らずも証明されたからだ。
こうした現状を受け、Core Infrastructure Initiative(CII)は、オープンソースプロジェクトの品質、安定性、セキュリティを正しく評価して認定するためのプログラム「Badge Program」の立ち上げを、米シアトルで開催されていた「LinuxCon North America 2015」で発表した。CIIは、オープンソースソフトウェアを開発する企業や開発者を支援するためにLinux Foundationが設立した団体。
Badge Programは、セキュリティとオープンソースソフトウェアの専門家であるDavid A. Wheeler氏と、CIIのシニアアドバイザーであるDan Kohn氏によって率いられる。Wheeler氏は、政府の支援を受けて国防上のセキュリティに関する研究開発を行う非営利の組織、Institute for Defense Analyses(IDA)の職員でもある。
Badge Programでは、審査に合格したオープンソースプロジェクトに対して、品質とセキュリティへのコミットメントを証明するバッジを発行する。プログラムはまだ策定中で、最初のドラフトがGitHubで公開されている。CIIは現在、プログラムにどのような審査基準を盛り込むべきか、コミュニティからのフィードバックを募っている。
現時点のドラフトには、オープンソースプロジェクトの品質とセキュリティ向上に不可欠となる、一連の条件とベストプラクティスが規定されている。たとえば、「オープンソースライセンスの適用」「バージョン管理されたソースリポジトリの導入」「回帰テスト自動実行ツールの導入」「ソースコードの脆弱性を見つけ出すための静的解析ツールの導入」などが審査基準として盛り込まれている。
CIIは、最終的に完成したBadge Programによって、オープンソースソフトウェアの品質とセキュリティに対する開発者達の意識改革を後押ししたいと考えている。発行されるバッジは、いわばCIIが開発者達の目の前にかざした飴である。この飴に対する鞭は、CIIは用意していないが、その必要もないだろう。品質やセキュリティを疎かにした開発者には、脆弱性を内包していたソフトウェアが社会的混乱を引き起こし、開発者としての自分の信頼が地に落ちるという、最も厳しい鞭が待ち受けている。Heartbleedがそうであったように。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
