Linuxは2016年に誕生から25周年を迎えた。Linuxの始まりは、学生のプロジェクトだった。今ではあらゆる場所で使われている。スマートフォンからスーパーコンピュータ、ウェブサーバ、クラウド、自動車に至るまで、あらゆるものがLinuxで動いている。
これまでは唯一の例外だったエンドユーザーでさえ、Linuxに移行しつつある。「Android」は、今やもっとも人気のあるエンドユーザー向けOSだ。また「Chromebook」も人気を集め始めている。実際、「Fedora」や「openSUSE」「Mint」「Ubuntu」などの従来からあるLinuxデスクトップさえ、勢いを増している。
もちろんこれまでも、エンドユーザーはLinuxを利用してきた。ただ単に、ほぼすべての著名なウェブサイトや、多くのSaaSアプリケーションが、Linuxで動いていることに気づいていないだけだ。
Microsoftでさえ、とうとうLinuxに熱心に取り組むようになってきている。同社は2016年にLinux Foundationに参加している。
あらゆることがうまくいっているにも関わらず、筆者は心配している。なぜなら今や、単なるスクリプトキディではない本物のハッカーが、こぞってLinuxやその他のオープンソースのコードに狙いを付け、脆弱性を探しているからだ。
オープンソース界のリーダーであるEric S. Raymond氏は、何年も前に「十分な数の人の目があれば、あらゆるバグは洗い出される」と述べており、この考え方は「Linusの法則」とされている。この法則は、Linuxを今日の成功に導き、オープンソースソフトウェアを前進させてきた重要な概念の1つだ。
しかし、この法則が成立するのは、バグを発見し、コードを修正しようとする人の目が十分にある場合だけだ。コード1000行(KLOC)当たりのエラーの数は、一般に15~50件であり、厳格なチェックとテストを行った場合で3件程度だと言われている。Linuxのコードは、カーネルだけでも1600万行を超えている。かけ算をしてみるといい。
Linuxには、2016年だけで2件の重大なセキュリティホールが発見された。ディスク暗号化メカニズム「LUKS」を利用するためのスクリプトのバグと、Linuxカーネルのメモリサブシステムに存在した脆弱性「Dirty COW」だ。重要度は低かったものの、他にもLinuxのバグは見つかっている。Linuxの名誉ために言えば、これらの問題は発見後ほぼ直ちに修正された。
問題を速やかに修正することに関しては、LinuxはAppleやMicrosoft、その他のどの商業ソフトウェアベンダーよりも優れている。しかし、数字の話をすると、まだ修正を要するバグが最低でも約3000件残っている。
Linuxを攻撃から守ることは、これまで以上に重要になっている。
