オープンソースソフトウェアが他の形態のソフトウェアよりもセキュリティの面で劣っているというプレスリリースや調査を目にするたびに、私はついつい疑いの目を向けてしまう。2012年3月26日に公開された Aspect Security と Sonatype による調査には、特にうさんくさいものを感じた。
調査には、次のようにある。
「最も人気のある31のオープンソースセキュリティライブラリや Web フレームワークからは、4,600万もの安全でないバージョンがダウンロードされている。Google Web Toolkit(GWT)では、既知の脆弱性のあるものが1,770万回もダウンロードされた。そのほか、Xerces、Spring MVC、Struts 1.xなどでも、脆弱性のあるライブラリがダウンロードされていることがわかっている」
ちょっと待ってほしい。これは、オープンソースリリースには、過去には脆弱性を持ったバージョンがあったと言っているだけじゃないか?それは、プロプライエタリなソフトウェアでも同じだろう。
オープンソースソフトウェアにも脆弱性はある。だが、オープンソースプロジェクトの良さは、他の形態のソフトウェアよりも素早くそれを見つけ、すぐにパッチがリリースされるところにあるのだ。このことが、オープンソースのセキュリティを高めている。
Sonatype もそれはわかっているようで、次の追記をしている。
「コミュニティによるチェックが、セキュリティ上の欠陥の発見を後押ししている。オープンソースのセキュリティライブラリでは、他のタイプのコンポーネントと比較して、およそ20%ほど多くのセキュリティに関する報告がなされている」
このように、オープンソースのセキュリティへの取り組みは、他の形態のソフトウェアよりも活発であると述べているのだ。では、何が問題だというのか?
Sonatype によれば、オープンソースのエコシステムでは、セキュリティアップデートの集中管理ができておらず、アップデートの通知インフラに欠けており、利用者のシステムが古いバージョンのまま放置されがちなことが問題なのだという。
何を言ってるのだ?
私の知る限り、あるコンポーネントのアップデートが作成された場合、それは yum や apt といったアップデートシステムで簡単に入手できるはずだ。Linux のリポジトリシステムでは、登録さえしておけばアップデートがあったときに最新のものを入手可能だ。アップデートが問題になるとは思えない。
オープンソースコンポーネントに脆弱性があるのは間違いないことだ。だが、その欠陥は他の形態のソフトウェアよりも素早く修正されている。そして、オープンソースの利用者は、最新のアップデートを入手しやすい環境にもある。最新の情報を入手できていないのは、 Aspect Security と Sonatype の方ではないのだろうか?
この調査は、オープンソースプロダクトのセキュリティ上の不安を煽る FUD マーケティングの一種という気がしてならない。
Sean Michael Kerner は、InternetNews.com の主任編集者。
http://headlines.yahoo.co.jp/hl?a=20120328-00000001-inet-secu
※この記事の著作権は、ヤフー株式会社または配信元に帰属します
詳しくはジャニーズ・春夏秋冬の方にアクセスしてください。
きっと、もっと詳細な情報があることでしょう。
調査には、次のようにある。
「最も人気のある31のオープンソースセキュリティライブラリや Web フレームワークからは、4,600万もの安全でないバージョンがダウンロードされている。Google Web Toolkit(GWT)では、既知の脆弱性のあるものが1,770万回もダウンロードされた。そのほか、Xerces、Spring MVC、Struts 1.xなどでも、脆弱性のあるライブラリがダウンロードされていることがわかっている」
ちょっと待ってほしい。これは、オープンソースリリースには、過去には脆弱性を持ったバージョンがあったと言っているだけじゃないか?それは、プロプライエタリなソフトウェアでも同じだろう。
オープンソースソフトウェアにも脆弱性はある。だが、オープンソースプロジェクトの良さは、他の形態のソフトウェアよりも素早くそれを見つけ、すぐにパッチがリリースされるところにあるのだ。このことが、オープンソースのセキュリティを高めている。
Sonatype もそれはわかっているようで、次の追記をしている。
「コミュニティによるチェックが、セキュリティ上の欠陥の発見を後押ししている。オープンソースのセキュリティライブラリでは、他のタイプのコンポーネントと比較して、およそ20%ほど多くのセキュリティに関する報告がなされている」
このように、オープンソースのセキュリティへの取り組みは、他の形態のソフトウェアよりも活発であると述べているのだ。では、何が問題だというのか?
Sonatype によれば、オープンソースのエコシステムでは、セキュリティアップデートの集中管理ができておらず、アップデートの通知インフラに欠けており、利用者のシステムが古いバージョンのまま放置されがちなことが問題なのだという。
何を言ってるのだ?
私の知る限り、あるコンポーネントのアップデートが作成された場合、それは yum や apt といったアップデートシステムで簡単に入手できるはずだ。Linux のリポジトリシステムでは、登録さえしておけばアップデートがあったときに最新のものを入手可能だ。アップデートが問題になるとは思えない。
オープンソースコンポーネントに脆弱性があるのは間違いないことだ。だが、その欠陥は他の形態のソフトウェアよりも素早く修正されている。そして、オープンソースの利用者は、最新のアップデートを入手しやすい環境にもある。最新の情報を入手できていないのは、 Aspect Security と Sonatype の方ではないのだろうか?
この調査は、オープンソースプロダクトのセキュリティ上の不安を煽る FUD マーケティングの一種という気がしてならない。
Sean Michael Kerner は、InternetNews.com の主任編集者。
http://headlines.yahoo.co.jp/hl?a=20120328-00000001-inet-secu
※この記事の著作権は、ヤフー株式会社または配信元に帰属します
詳しくはジャニーズ・春夏秋冬の方にアクセスしてください。
きっと、もっと詳細な情報があることでしょう。