AlmaLinux、ソースコードの公開方針を変更したレッドハットとの関係に暗雲

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部

2023-07-27 15:11

 Red Hatが「Red Hat Enterprise Linux」(RHEL)のソースコードの配付対象を顧客のみにすると発表したことで、RHELのソースコードが簡単には入手できなくなり、「AlmaLinux」や「Oracle Linux」、「Rocky Linux」などのRHELクローンのディストリビューション作成工程は大きな影響を受けることになった。これに対し、Oracle LinuxやRocky Linuxは争う姿勢を見せているが、AlmaLinuxは穏健な手段を選択した。しかしその方針は、期待されていたほどどうまくいっていない。

画面を見ながら頭を抱える人
提供:Maskot/Getty Images

 AlmaLinuxは、RHELとのソースコードの互換性を100%保証することを放棄した。その代わり、AlmaLinuxの開発者は、アプリケーションバイナリインターフェイス(ABI)レベルでの互換性を確保することを選んだ。ほとんどの場合、実用的な目的にはこれで十分だ。

 AlmaLinuxの理事会は、「コミュニティのニーズに応えるため、可能な限り、今後もRHELとのABIレベルでの互換性があり、RHEL上で動作するソフトウェアがAlmaLinux上でも同じように動作するような、エンタープライズ水準のLinuxディストリビューションを長期的に生産することを目指す」ことを全会一致で決議した

 AlmaLinuxの理事長であるbenny Vasquez氏は、「ここで言うABIの互換性は、RHEL(またはRHELクローン)上で動作するようにビルドされたアプリケーションがAlmaLinux上で問題なく動作することを保証することを意味する。想定が変わったため、私たちがリリースするものすべてが、RHELで得られるソースコードとまったく同じであることを保証する必要はなくなる」と述べている。

 これを実現するために、AlmaLinuxは「CentOS Stream」のソースコードを使用する。さらにVasquez氏は、「私たちは、創業以来そうしてきたように、FedoraやCentOS Streamのアップストリームや、より大きなEnterprise Linuxのエコシステムへのコントリビューションを続けるつもりであり、コミュニティーにも同じことをするよう呼びかける」とした。

 Red Hat側は公式には何も述べていない。しかし筆者が同社の関係者らから聞いたところによると、それはまさしく「RHELライクなディストリビューションが採用するべきだとわれわれが示唆してきているアプローチ、すなわちCentOS Streamでより広範なコミュニティーと連携していくこと」だという。

 では、何が問題なのだろうか。KnownHostの最高技術責任者(CTO)であり、AlmaLinuxにおけるインフラチームのリーダーでもあるJonathan Wright氏は最近、CentOS Streamの「iperf3」に存在するメモリーオーバーフローの問題(CVE-2023-38403)のフィックスをプッシュした。iperf3は人気の高い、オープンソースのネットワークパフォーマンステストツールだ。このセキュリティ脆弱性は重要に分類されるものだが、重大というほどではない。それでも、放置しておき、最終的にサーバーをクラッシュさせるために用いられるよりも、対処しておいた方がはるかに良いはずだ。

 筆者や他の人々もこの見解に同意している。しかしRed Hatのある上級ソフトウェアエンジニアが、「貢献に感謝する。現時点ではRHELでこの問題に対処する計画はなく、顧客からのフィードバックに基づく評価待ちとしてとどめておく」という答えを返してきたのだ。

 その結果、やり取りは紛糾することになった。

 GitLabでのやり取りは次のように続いた。

AlmaLinux:「顧客からの要求はCVEに対処する上で本当に必要なのか?」

RedHat:「Red Hatは自らが『Critical』(重大)と『Important』(高)と定義したセキュリティ問題に対処することに責任を持つ。『Low』(低)や『Moderate』(中)のセキュリティ脆弱性は、顧客やその他の企業から対応する必要があるという要求があった際に対処する」

AlmaLinux:「その点については理解できるが、既に作業が完了しており、あとはマージするだけの状態となっているフィックスを拒否するのはなぜなのか?」

 この時点で、Red Hatのコアプラットフォーム、すなわちRHELのバイスプレジデントであるMike McGrath氏が割って入り、「われわれはおそらく、『サブミットした場合、どのようなことが予想されるか』というドキュメントを作成しておく必要があるのだろう。開発されたコードの受領は、Red Hatがそのコードに関して実行する作業の第1段階でしかない。われわれは、デグレードが発生していないかや、品質保証(QA)といった作業を確実にこなさなければならない。(中略)まとめると、あなたの貢献については感謝している。そして、Fedora側で問題が発生していないようなので、どこかの時点でRHELに取り込まれることになるだろう」と説明した。

 この発言を機にやり取りはさらに険悪なものになった。

 あるユーザーは「顧客からの要求が必要だというのか?ならば、これが顧客の要求だ。『修正してほしい、さもなくばRHELを2度と使わない』」と記している。また別のユーザーは、Red Hatが「Almaはもうフィックスをアップストリームにプッシュしないため、われわれは商売に専念する!」「あなたたちのフィックスは要らないよ、Alma!」と書いているのも同然だと記している。

 その後McGrath氏は、Redditで「AlmaLinuxに善意を示す絶好のチャンスだったところで、しくじってしまった」と述べた

 結局、Red Hatの製品セキュリティチームは、このCVEを再評価して深刻度を「重要」に引き上げ、問題のパッチをマージした

 これで当面の問題は解決したわけだ。とはいえ、このやりとりはしこりを残した。Wright氏は「私にとって今回最悪だったのは、PR(プルリクエスト)を送ったのは時間の無駄だったと感じたことだ」と述べているが、これは、オープンソースコミュニティーの開発者からは絶対に聞きたくない反応だろう。

 しかしVasquez氏は、今後について前向きに捉えている。同氏はあるインタビューで、「これは全員にとって未知の領域であり、関係者にはものごとを改善しようという意思が見えた。私たちの本当のゴール(エコシステムを全員にとってよいものにしていくこと)に立ち返れば、今回のやりとりは全員にとって学びの機会になったと言えるだろう。Red Hatにはすでに、SIG(CentOS Stream Special Interest Groups)から出てきたものを受け入れるプロセスや手順があるが、SIG以外からのPRの受け入れに関しても改善されることを期待している」と語った。

 果たしてどうなるだろうか。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]