この数週間は、オープンソースとサイバーセキュリティが交錯するという観点で興味深いものだった。まず「Apache Log4j」問題をきっかけにした、オープンソースのセキュリティに関する新たな展開があった。そして、あるJavaScript開発者がその待遇に不満を抱き、自ら開発したライブラリーを意図的に破損させるという事件も発生した。
提供:Getty Images
筆者は、「オープンソースの脆弱性」という言葉を目にするとショックを隠せない。というのもこの言葉について、各国政府はサイバー世界の差し迫った問題だと捉えているようだが、実際には金銭的な問題という色合いが濃いためだ。
オープンソースライセンスの下、特に1人だけのプロジェクトとして開発を進めていくというのは、始めのうちは素晴らしいものだ。大きな注目を集めることなく、ユーザーや仲間の開発者がソフトウェアを改善していくために手を貸してくれる。しかし、多国籍企業や政府がそのソフトウェアを無償で利用し始めるようになる段階になると、Fortune 500企業を無償で支援していくという意思決定を下した一介の開発者に対する同情を筆者は禁じ得なくなる。
無限ループやZalgoテキストを仕込むという手法を取るのはゆがんでいたかもしれないが、それなりの規模の組織がコードを検査せず、あるいはテスト環境でまず実行せずに、ダウンロードして実行してしまうというのはどういうことなのだろうか。数多くのNode.jsアプリが使えなくなったのは残念だが、破壊的な状況をもたらすものではなかったというのは不幸中の幸いだ。
影響を受けた組織は今回の一件で、報われていない開発者にさらに追い討ちをかけるのではなく、無料のサイバー/ソフトウェアサプライチェーン監査の機会だったと捉えるべきだ。
ここ数カ月間、ウェブコミック「xkcd」の2347番が注目を集めているのには理由がある。それは、この問題の核心が暴き出されているためだ。
xkcdの内容/背景を説明するファンサイトでの説明には、「私はThe Linux Foundationで、『OpenSSL』などのプロジェクトをサポートする『Core Infrastructure Initiative』(CII)プロジェクトに携わっていた」と記されており、次のように続けられている。
「XMLパーサーの『Expat』が、日曜の午後には何もすることがないだろうという前提の下、2人の開発者の交代制でメンテナンスされていたって点が恐ろしかった。テストスイートのための資金は提供してもらっていた」
今日のインターネットを支えているスタックは実際のところ、このようなかたちで機能しているという点で、このコメントに疑いを差し挟む理由はほとんどない。各スタックの奥深くでは週末頼りという状況が存在している。
大手IT企業が四半期ごとに数十億ドル規模の売上高を計上している一方で、そのどこかで多用されているライブラリーはこれら業界大手から1セントも得ていないのだ。それ自体は違法ではないものの、無償の労働力から利益を得るにはこういった企業は少しばかりリッチすぎるのではないだろうか。