Linuxカーネルの開発者らは今週、セキュリティ関連のメーリングリスト(ML)を立ち上げ、今後同オープンソースOSのコア部分に脆弱性が見つかった際には、このMLを通じて情報を公表することになった。
カーネル開発チーム宛には大量の電子メールが送られてくるが、そのなかにセキュリティの欠陥に関する報告が紛れ込んでしまわないかという懸念の声が一部の開発者から上がっていた。まもなく発表予定のこのMLは、こうした懸念に対処するためのもの。
Open Source Development Lab(OSDL)で働くLinuxカーネル開発者のChris Wrightは、「われわれは、プロセスを可能な限りオープンにすることを目指している。場合によっては、影響を確実に把握し、公表前に修正を用意できるよう、セキュリティの脆弱性を非公開で報告したいこともある。このMLは、こうした情報の流れを円滑にし、セキュリティ情報が完全に無視されることのないよう設置される」と述べている。
カーネル内部のセキュリティ問題についてはこのメーリングリストが窓口になるが、その開設にあたっては、リストをどこまで公開すべきかについて数週間前からさまざまな検討が行われてきた。
セキュリティ関連問題の開示については、カーネル開発グループと、ソフトウェアコミュニティ全体の双方で激しい議論が戦わされた。「人気の高いソフトウェアのバグを公にすることはインターネットのセキュリティに打撃を与える」との意見もあれば、「欠陥は一般的に開発手順の不備とセキュリティの軽視が原因だ」と指摘する声もあった。
現在、商用ソフトウェア業界では、欠陥を発見したセキュリティ研究者らに対し、ソフトウェアベンダーが修正を用意してアップデートをリリースするまで、脆弱性の詳細を公表しないように求めている。しかし、オリジナルのLinuxカーネルを開発したLinus Torvaldsは、Linuxの開発でこのようなアプローチをとることを非難している。
同氏はCNET News.comが先日行った電子メールでのインタビューに答え、「個人的には可能な限り情報を開示するほうが好ましいと思うし、そのほうが不安がない。このためには、一定レベルのセキュリティが必要となる。また、どの時点でもこのレベルのセキュリティに不安を感じる人はいて、彼らは情報開示に反論する傾向がある」と述べていた。
商用ソフトウェアメーカーや、「Vendor-sec」というLinuxベンダーのセキュリティリストと比べても、Linuxカーネル開発チームはTorvaldsの言うような情報開示を積極的に目標としてとり入れようとしているようだ。
このリストに関する声明の原稿のなかで、カーネル開発チームは次のように述べている。「われわれは可能な限りすみやかにバグに関する情報を完全に公表するほうが好ましいと考える。バグやその修正パッチが十分に理解されていない段階では、それに関する情報の開示を遅らせることが理にかなっている。その解決策が十分にテストされていない場合や、ベンダーとの調整が不十分な場合も同じことがいえる。しかしながら、こうした情報開示の遅れは短期間--具体的には数日間にとどめるべきで、何週間も何カ月も遅らせるべきではない」(同声明)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。