Googleは先週末、OpenSSLのコードベースをフォークし、「BoringSSL」という名称のプロジェクトを新たに立ち上げたと発表した。
同社はこれまで、OpenSSLのコードに対するカスタムパッチをOpenSSLのリリースごとにリベースしてきたが、今後同社のパッチはBoringSSLにポートされるOpenSSLのアップデートとともにBoringSSLのコードベースに統合されていくことになる。
GoogleのシニアソフトウェアエンジニアAdam Langley氏はブログへの投稿で「われわれは何年にもわたってOpenSSLに対してパッチを適用してきた。それらの中にはOpenSSLのリポジトリに取り込まれたものもあるが、多くはOpenSSLが保証するAPIやABIの安定性に沿っておらず、また少し実験的過ぎるものも数多くあった」と述べている。
Langley氏によると、複数のプラットフォームをまたがって70以上のパッチを維持していくという状況は、「Chrome」と「Android」のための作業としては手間がかかりすぎるものになったという。
「われわれは、OpenSSLの置き換えとなるオープンソースプロジェクトを目指しているわけではない。バグを発見した際には、今後もバグ修正を彼らに連絡するし、上流からの変更はインポートするつもりだ」(Langley氏)
Langley氏は、この新規プロジェクトが発足したからといって、GoogleがOpenBSDやCore Infrastructure Initiative(CII)への資金提供から遠ざかるわけではないと述べた。
OpenBSDは4月、独自にOpenSSLをフォークし、LibReSSLという名前のプロジェクトを立ち上げている。LibReSSLプロジェクトとBoringSSLプロジェクトはお互いの変更をインポートすることも可能となるはずだ。
「われわれは既に、彼らからの要請に基づき、OpenSSLに対するわれわれのこれまでの貢献の一部をISC(Internet Systems Consortium)ライセンスへとリライセンスしており、今後われわれが新たに記述するコードも同様のライセンスとなる」(Langley氏)
OpenBSDの創設者であり開発リーダーでもあるTheo de Raadt氏はBoringSSLの誕生を歓迎している。
Raadt氏は「彼らはABIの互換性ではなく安全性を最優先にしている。その点はわれわれと同じだ」と述べるとともに、「今後、Googleのバージョンも『スリム化したAPI』になっていくのではないかと私は考えている。というのも、彼らはレガシーアプリケーションに対するサポートをさほど必要としていないためだ。これによってLibReSSLも、アプリケーション側に対応する気があるのならば、同様の方向に進む機会が与えられるかもしれない」と語っている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
