まずSomeren氏は、OSSは次のような点に特徴があるという(Someren氏は、OSSだけではなくフリーソフトウェアも含めて議論しているため「FOSS」という用語を使用していたが、本稿ではOSSに統一する)。
- 多くの人々が貢献している
- ときどき(あるいは多くの場合)、コードは仕様よりも重要であるというカルチャーである
- プロセスは多くの場合アドホックである
- セキュリティ第一というマーケットからのプレッシャーは少ない
このような特徴を持つOSSであるが、(まだまだ十分ではないが)2016年は2014年よりも対策が進み、多くのプロジェクトでセキュリティがより高い優先度を持つようになったと言う。
2014年と比較して、2016年は多くのプロジェクトでセキュリティがより高い優先度を持つようになった
Someren氏は、成功例としてCIIが資金援助しているOpenSSLプロジェクトを挙げた。OpenSSLの脆弱性に関する報告が、この2年で増えたことに気がついている人も多いだろう。これは、体制とプロセスが徐々に構築され、バグの発見が早くなり、解決も早くなったことを意味している。
しかし、多くのOSSの脆弱性は平均1894日間放置され、アプリケーションの67%がOSSの脆弱性を含み、いまだに10%ものウェブアプリケーションがHeartbleedを修正していない状況にあるという。そして私たちはさらに潜在的なリスクを認識する必要があるとも指摘する。
例えば、Ubuntuでは約5万パッケージが2013年以来リリースされていない「zlib」(圧縮アルゴリズムの一種)に依存しているように、現在放置されているコードを開発時に利用していることだ。
現在も、OSSの脆弱性は平均1894日間放置され、アプリケーションの67%がOSSの脆弱性を含む
このようなセキュリティリスクを事前に調べることができるように、CIIが提供しているツールがCensusである。Censusでは、多くのOSSパッケージに対して、脆弱性の数や貢献者数などをもとにリスクの数値評価をしている。
CIIでは、これ以外にもテスト/アセスメントツールの提供、ベストプラクティスのバッジ評価、トレーニングを今後も提供していくという。
最後にSomeren氏は、OSSのセキュリティは、改善しつつあるが道半ばであること、セキュリティはプロジェクトの重要課題であり、初期段階から検討され、また他の機能と同様に優先順をきっちりと付けるべきであると話し、講演を締めくくった。
OSSのセキュリティは、改善しつつあるが道半ば
- 赤井誠(あかいまこと)
- 日本ヒューレット・パッカード株式会社(日本HP)に入社後,ソフトウェアR&D、事業企画、マーケティング部門を歴任。2003年からLinuxビジネス立ち上げのリーダーとして、日本HPのLinuxへの取り組みを主導した。また、x86サーバを活用したハイパフォーマンスコンピューティング(HPC)を立ち上げた。2011年4月 MKTインターナショナル株式会社を起業し、現職。キャリアデベロップメントカウンセラー、ライターとしても活動している。著作・訳書に、『マックで飛び込むインターネット』(翔泳社)、『リーダーにカリスマ性はいらない』(中経出版)、『MySQLクックブック』(オライリー・ジャパン)、『JBoss(開発者ノートシリーズ)』(オライリー・ジャパン)など多数。
