スイスのチューリッヒに拠点を置き、PythonおよびDjango向けのクラウドホスティングサービスを提供しているDivioのサイト信頼性担当エンジニアであるKatie McLaughlin氏によると、同社は第2集団に属するプロバイダーであるとはいえ、MeltdownやSpectreについて耳にしたのは、Twitter上で情報がツイートされ始めた時だったという。
McLaughlin氏は「情報を手にするプロバイダーと、手にしないプロバイダーが決められていたかのようだった」と述べた。大手ではないクラウドプロバイダーは、ハードウェアを実際に購入しているにもかかわらず、何の情報も与えられなかったという。
「何が起こったのかはよく分からないが、ある種の会員制クラブのメンバーであるかどうかで、情報を知らされるかどうかが決められていたように思えた。そして、情報提供先を判断する基準は明確とは言えなかった」(McLaughlin氏)
Corbet氏はMcLaughlin氏に同意し、「こういったことに関する情報を手にできるのは超大手のクラウドプロバイダーのみという世界は望ましいものではない。というのも、これは競争(に関する問題)に直結するためだ」と述べた。
FreeBSD開発コミュニティーの中核メンバーであるBenno Rice氏によると、同コミュニティーの開発者らに対する警告はないに等しかったという。
Rice氏は「FreeBSDの観点から語れば、われわれの主な不満は、数多くのベンダーとの関係があったにもかかわらず、今回の件について知ったのはずっと後の段階になってからだったというところにある」と述べた。
「かん口令が解かれ、われわれが問題について知らされてから、カーネル内のページテーブルを隔離するなどの対策を実装するまで、確か11日間程度しかなかった」(Rice氏)
同氏は告知が遅延したのは悪意からではないとし、一生に一度の出来事であってほしいと笑い飛ばした。
「Intelから最初に情報を受け取るのは同社製品の大手顧客らであり、同社製品を用いる特定のベンダーとの関係を持たないコミュニティープロジェクトとして、われわれは『情報提供は不要』というグループに分類されることになった」(Rice氏)
Googleのカーネル開発者でさえ、少なくとも初期段階では情報の入手に苦労したという。
Googlerで「Android」や「Chrome OS」を開発している、LinuxカーネルのセキュリティエンジニアであるKees Cook氏は「情報は極めて適切に隔離されていたとはいえ、Google社内でも知っている人はそう多くなかった」と述べた。
同氏は、「私がその件について知った時には、厳しいかん口令が敷かれていた(中略)この件について知っておく必要のある人たち全員が、確実に情報アクセス承認プロセスを経るようにするのは、ある意味において困難だった」と述べたものの、その問題は後に改善されたという。
「多くの人々はこの情報統制が大失敗だったと語っている。私には、問題の大半が情報統制中における内部告知にあるように感じられた。情報統制自体は比較的うまくいったと言え、2017年6月に発見された脆弱性に関する情報が漏れ始めたのは、(情報統制終了予定日の)わずか6日前だった(中略)このため私は比較的うまくいったと考えており、オープンなかたちで取り組めることはオープンなかたちで取り組まれ、ものごとはうまく進んだように感じている」(Cook氏)
オープンハードウェアが解決策になるのか?
プロセッサのアーキテクチャをよりオープンなものにすることで、ソフトウェアコミュニティーがその設計をより直接的にレビューしたうえで、成果を反映できるようになれば、MeltdownやSpectreのような脆弱性は、もっと早期に洗い出せるようになるのだろうか?