米政府がオープンソースの安全性向上を支援

opensource 2006-01-17 22:56:26

 米国土安全保障省(DHS)がオープンソース製品の安全性強化に助成金を出すというニュースが報じられた。何かおかしいところがあるのではないかと、一日疑心暗鬼に陥ってしまった。

 読者はどのように考えるだろうか。

 DHSがおよそ125万ドルの助成金を支給して、オープンソースの安全性向上に一役買うことになりそうだ。その大半がスタンフォード大学に寄付されるが、CoverityやSymantecも資金の提供を受ける。

 DHSではこの取り組みを「Open Source Hardening Project」と呼んでいる。同プロジェクトでは、オープンソース製品のセキュリティホールを自動的にチェックするシステムが運用されるが、これによりプロジェクトマネージャーは、オープンソース製品が一般公開される前にバグを排除できるようになるという。

 Coverityのマーケティング担当シニアディレクターRob Rachwaldが、このプロジェクトについて丁寧に説明してくれた。Rachwaldの説明では、一般的な品質評価部門は実行するコードの動作計画しか立てないので、通常の場合、テストが行われるコードは全体の5〜10%だということだ。

 だが、Coverityはすべてのコードを検証している。「われわれは、理論の要となっている部分が実際に機能するかどうか、確認している。性能や機能については関知しない」(Rachwald)。こうした検証を人間が行うと、数十年かかる可能性があるという。だがCoverityでは、元はスタンフォード大で行われていた研究を商業化しており、検証作業をわずか数日で完了させることができる。

「最新のLinuxカーネル(バージョン2.6.12)を例に挙げてみよう。同カーネルには、600万行のコードと600万個のパス、さらに7万9876件の機能が含まれている。人手でこれを確認していくとなると、28年の月日が必要だ。一方われわれには、数時間あれば十分なのである」(Rachwald)

 早々と一般公開されたバグの多いコードに不安を感じることがあるかもしれないが、「Coverityは欠陥を公表する一方で、公開前のソースコードは利用できないようにし、欠陥のあったソフトウェアの特別な設計情報を提供しないようにしている」という。

 オープンソースプロジェクトをこうして事前検証することには、もう1つ大きな利点がある。バグに関する報告が取るべき経路を把握するのに役立つのだ。Linuxコアのカーネルならばそうした経路は1つだが、そのほかのプロジェクトとなると、バグレポートが上がってくる経路もさまざまで、混乱してしまう。この種の事前検証が、これを整理するわけだ。人間の頭脳を無料で検査するようなものだと考えればよいだろう。

 Rachwaldによれば、この契約を完了させるのに9カ月を要したが、政府が関わっているにしてはこれでも「光速」並のスピードだったという。もっとも、最近のウイルスのスピードもこの程度だが。

 こうして説明されると、すべてがうまくいくように思える。そんなことがあるはずないと、だれか言ってくれないだろうか。

(Dana Blankenhorn)

 

 

原文へ

 

 

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!