海外コメンタリー

セキュリティの観点から議論される、オープンソース開発者への適切な対価の必要性

Chris Duckett (ZDNet.com.au) 翻訳校正: 村上雅章 野崎裕子

2022-01-28 06:30

 この数週間は、オープンソースとサイバーセキュリティが交錯するという観点で興味深いものだった。まず「Apache Log4j」問題をきっかけにした、オープンソースのセキュリティに関する新たな展開があった。そして、あるJavaScript開発者がその待遇に不満を抱き、自ら開発したライブラリーを意図的に破損させるという事件も発生した。

Log4j
提供:Getty Images

 筆者は、「オープンソースの脆弱性」という言葉を目にするとショックを隠せない。というのもこの言葉について、各国政府はサイバー世界の差し迫った問題だと捉えているようだが、実際には金銭的な問題という色合いが濃いためだ。

 オープンソースライセンスの下、特に1人だけのプロジェクトとして開発を進めていくというのは、始めのうちは素晴らしいものだ。大きな注目を集めることなく、ユーザーや仲間の開発者がソフトウェアを改善していくために手を貸してくれる。しかし、多国籍企業や政府がそのソフトウェアを無償で利用し始めるようになる段階になると、Fortune 500企業を無償で支援していくという意思決定を下した一介の開発者に対する同情を筆者は禁じ得なくなる。

 無限ループやZalgoテキストを仕込むという手法を取るのはゆがんでいたかもしれないが、それなりの規模の組織がコードを検査せず、あるいはテスト環境でまず実行せずに、ダウンロードして実行してしまうというのはどういうことなのだろうか。数多くのNode.jsアプリが使えなくなったのは残念だが、破壊的な状況をもたらすものではなかったというのは不幸中の幸いだ。

 影響を受けた組織は今回の一件で、報われていない開発者にさらに追い討ちをかけるのではなく、無料のサイバー/ソフトウェアサプライチェーン監査の機会だったと捉えるべきだ。

 ここ数カ月間、ウェブコミック「xkcd」の2347番が注目を集めているのには理由がある。それは、この問題の核心が暴き出されているためだ。

 xkcdの内容/背景を説明するファンサイトでの説明には、「私はThe Linux Foundationで、『OpenSSL』などのプロジェクトをサポートする『Core Infrastructure Initiative』(CII)プロジェクトに携わっていた」と記されており、次のように続けられている。

 「XMLパーサーの『Expat』が、日曜の午後には何もすることがないだろうという前提の下、2人の開発者の交代制でメンテナンスされていたって点が恐ろしかった。テストスイートのための資金は提供してもらっていた」

 今日のインターネットを支えているスタックは実際のところ、このようなかたちで機能しているという点で、このコメントに疑いを差し挟む理由はほとんどない。各スタックの奥深くでは週末頼りという状況が存在している。

 大手IT企業が四半期ごとに数十億ドル規模の売上高を計上している一方で、そのどこかで多用されているライブラリーはこれら業界大手から1セントも得ていないのだ。それ自体は違法ではないものの、無償の労働力から利益を得るにはこういった企業は少しばかりリッチすぎるのではないだろうか。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]