「Windows」の重大なセキュリティ問題が毎週のように発見されている一方で、Linuxのセキュリティ問題は、詳しく見れば無能なシステム管理者によって引き起こされている場合が多い。しかし、Linuxがこの状況に安心することはできない。Linuxにも対応すべき重大なセキュリティの懸念はあるからだ。GoogleとThe Linux Foundationは、Linuxカーネルのセキュリティ開発を担当する2人のフルタイムで働くメンテナーの費用を負担することにした。Gustavo Silva氏とNathan Chancellor氏だ。
Silva氏とChancellor氏は、カーネルセキュリティのメンテナンスと改善、およびLinuxのセキュリティの確保に関する取り組みに専念する。確かにやるべきことはある。
The Linux FoundationのOpen Source Security Foundation(OpenSSF)とハーバード大学イノベーションサイエンス研究所(LISH)がオープンソースコントリビューターを対象として実施した調査によって、オープンソースソフトウェアの開発では、多くの場合セキュリティが軽視されていることが明らかになった。確かに、Linuxには2万人以上のコントリビューターがいるし、2020年8月までに100万件のコミットがあった。しかし、セキュリティはコントリビューターの最重要の問題ではなかった。
残念ながら、この問題はトップから始まっている。Linuxの生みの親であるLinus Torvalds氏は、Linuxセキュリティの改善を必要以上に面倒な問題にしてしまう人々をひどく嫌っている。2017年には、同氏特有のスタイルで、一部のセキュリティ開発者に侮辱的な言葉を投げつけたこともある。しかし同氏は、刺激的な態度を取ることも多いとはいえ、セキュリティ開発者に方向性を与えてもいる。
Torvalds氏の観点から見れば、「セキュリティ問題は単なるバグだ。(中略)私が興味があるプロセスは『開発』プロセスだけであり、そこにバグが見つかるので修正しているだけだ」ということらしい。あるいは、Torvalds氏が2008年に述べているように、「私にとってセキュリティは重要だ。しかし、やはり重要なほかのことよりも重要性が低いわけではないというだけだ」ということなのだろう。
そのような見方をしているのはTorvalds氏だけではない。Linuxの「Wireguard Virtual Private Network(VPN)」の作者であるJason A. Donenfeld氏も、Linuxカーネルメーリングリスト(LKML)で「一部のセキュリティ関係者は、ほかのセキュリティ関係者の『セキュリティバグ』に対する強迫観念を小馬鹿している」と述べたことがある。
同氏はさらに、「セキュリティ業界は、おおむねそうした『危険/有用』なさまざまなバグを発見(および販売/使用/修正/報告/紹介/蓄積/検出/窃盗)することに取り憑かれている。そして、この強迫観念は常に満たされている。それはバグが常に生まれ続けているからであり(ソフトウェア開発はもともとそういうものだ)、この『セキュリティバグ』に対する熱狂は今後も続いていくだろう」と付け加えている。