PHP、Python、Sambaにセキュリティ向上のお墨付き

　Scanの報告書「Open Source Software 2008」では、ベンダーであるCoverityが過去2年間でオープンソースソフトウェアの欠陥のあるコード行数が減少していることを明らかにした。米国土安全保障省のオープンソースソフトウェアを安全を強化するプロジェクトの一部としてオープンソースソフトウェアの分析を実施したCoverityによれば、欠陥のあるコード行数の減少は、ソフトウェアの全体的な品質とセキュリティが向上したことを意味しているという。

　オープンソースソフトウェアの安全の程度に関する全体像を得るため、このレポートでは250のオープンソースプロジェクトについてプロジェクトごとの欠陥コード密度を調べた。対象プロジェクトには、Firefox、Linux、PHP、Python、Sambaも含まれている。

　すべてのプロジェクトを横断的に見ると、2006年には約3333行に1行の欠陥コードが存在した。最新のレポートによれば、この数字は4000行に1行に減少しており、これは「静的分析による欠陥密度」が16％の減少したと言えるという。これは、Microsoftが2004年に開発したソフトウェアの検証方法だ。

　オープンソースプロジェクトのうちAmanda、NTP、OpenPAM、OpenVPN、Overdose、Perl、PHP、Postfix、Python、SambaおよびTCLは、開発者が「複数クラスの潜在的なセキュリティ脆弱性」をコードから取り除いたとして同レポートの中で賞賛されている。

　発見されたもっとも一般的なセキュリティホールは「Null Pointer Deference」の脆弱性で、検出された脆弱性全体の28％を占めた。

オープン対クローズドの議論は続く

　オープンソースソフトウェアとクローズドソースソフトウェアの間の議論は、このレポートでは解決していない。Coverityによれば、「その主たる理由は、（クローズドソースソフトウェアについて）比較対象となるデータセットを入手することが困難であることにある」という。

　オープンソースソフトウェアは、オーストラリア政府税収局のBill Gibson氏などの一部のオーストラリア政府のCIOに拒否されている。これは、ソフトウェアの検証が明らかに不可能であることと、製品の安全性の保証をベンダ ーに依存することを優先したためだ。

　「われわれは、何らかの形で技術的な精査を行い、製品の内容に予期できないものが含まれていないことについて満足できることを確認しなくてはならない。独占的なコードにもこれらの危険が存在していることは承知しているが、独占的コードには、ユーザーを保護し、保証を提供するベンダーの評判が伴う」とGibson氏は述べている。

　Linux Australiaのプレジデントであり、SunのソフトウェアエンジニアであるStewart Smith氏はGibson氏とは異なる意見を持っている。「発言者には失礼ながら、クローズドソースソフトウェアはコードを検証できないため、信用することはできない」（Smith氏）

　「オープンソースソフトウェアが違うところは、資料が公開されており、判断がどのように行われたかを知ることができることだ。クローズドソースソフトウェアの問題は、その多国籍企業に属する誰でもコードを挿入できる可能性があり、外部からはコードのレビューの品質が判断できないことだ」とSmith氏は付け加えた。

　しかし、DebianのSSLの大失敗が明らかになって以降、近年オープンソースのコードレビューは大きなニュースになっている。セキュリティアナリストは、数年間に渡って予測可能な暗号鍵が生成されていた問題は、コードレビューの品質が低いことが原因だとした。

　「4つか5つの間違いが起きていたが、すべてがたまたま同時に悪い方向に働き、積み重なったことで大きな問題となった。これは非常運が悪いことであったが、現在は同じことが起こらないように徹底した反省が行われている。しかし、重要なことはこれがオープンに進められ、問題の修正のために行われたということだ。問題が隠蔽されるようなことはなかった」とSmith氏は話している。