Linuxはあらゆるところで使われている。あらゆるクラウドで(Microsoft Azureも含めて)使われているだけでなく、「TOP500」のスーパーコンピューターも、そのすべてがLinuxで動いている。また、Pornhubの記事を信じるとすれば、デスクトップの分野でもLinuxが増えており、「Windows」ユーザーが3%減少している一方で、Linuxユーザーは28%増加したという。
また、オープンソースソフトウェア(OSS)も飛躍的に成長している。Gartnerが発表した2021年版「Hype Cycle for Open-Source Software」(オープンソースソフトウェアのハイプサイクル)では、「2025年までに、企業の70%でOSSに対するIT支出が現在よりも増加する。それに加えて、2025年までには、OSSの利用モデルとしてサービスとしてのソフトウェア(SaaS)が好まれるようになる。これは、運用のシンプルさ、セキュリティ、スケーラビリティを提供できるためだ」と述べている。
Gartnerは、エンタープライズソフトウェアの根幹であるデータベースに関しても、新たに導入される社内アプリケーションの70%以上がオープンソースデータベースを使用して開発されると述べている。また2025年には、既存のプロプライエタリなリレーショナルデータベースのインスタンスの50%がオープンソースのDBMSに転換済みか、転換される過程にあると予想している。
Linuxとオープンソースが生まれた頃からそれらについて追いかけてきた筆者は、これらの数字は当たると見ている。どこに行って誰と話しても、ソフトウェア業界を動かしているのがLinuxとOSSであることを認めない人はいない。
しかし、スパイダーマンが言うように、大いなる力には大いなる責任が伴う。多くの開発者は、Javaのオープンソースのログ出力ライブラリーである「Apache Log4j2」に脆弱性が発見されたことで、そのことを痛いほど理解した。
Log4j2の問題は、これ以上ない最悪の状況に陥っている。この脆弱性はCVSS v3の評価基準で10.0と評価されている。つまり悪夢だ。
オープンソース自体に問題があるわけではない。オープンソースの手法とセキュリティの間に、何か不思議な関係があるわけではないからだ。セキュリティに影響を与えるようなミスが、コードに紛れ込むことはあり得る話だといえる。
Linusの法則と呼ばれるものがある。その内容は「十分な数の人の目があれば、どのようなバグも深刻ではない」というものだ。しかし、もしチェックしている開発者の数が不足していれば、脆弱性が気づかれないままになる可能性はある。Bruce Schneier氏が言うように、「セキュリティは製品ではなくプロセス」なのだ。これは、すべてのソフトウェアのセキュリティを確保するためには、常に注意を払い続ける必要があることを意味している。
