OpenSSLのHeartbleedバグという大事件は、Webが依存しているオープンソースのプロジェクトの多くが資金的にもスタッフ的にも潤沢でない、という事実に多くの人びとの目を否応なく開かせた。次のHeartbleedを防ぐために、FacebookとGoogle、Intel、Microsoft、NetApp、Qualcomm、VMware、そしてThe Linux Foundationの各社が今日(米国時間4/24)、”Core Infrastructure Initiative”と名づけたオープンソース支援活動を発表した。この共同事業は、“援助を必要としている”重要なオープンソースプロジェクトに、資金やそのほかの支援を提供することが目的だ。
各社の貢献額は公表されていないが、この事業を創設したLinux Foundationによると、これは“数百万ドル規模のプロジェクト”であり、Heartbleedがもたらした危機に対する業界の集団的対応を示す動きだ。この事業の資金はThe Linux Foundationが管理する。
このフェローシップ(特別研究助成)的な資金の最初の行き先は、言うまでもなくOpenSSLプロジェクトだ。このフェローシップは、プロジェクトを担当している主要なデベロッパたちがフルタイムでプロジェクトに取り組めるために交付される。また資金以外にも、外部からのレビューやセキュリティの監査、コンピューティングや試験のためのインフラストラクチャ、出張研究のお膳立て、などの支援が提供される。
OpenSSLのようなプロジェクトの重要性を考えると、それがこれまで年額2000ドル程度の寄付しかもらってなかったことは、本当に嘆(なげ)かわしい。もちろん、お金があればHeartbleedバグを防げた、というものでもないが、今回の共同事業では十分な試験環境も助成対象プロジェクトに提供されるから、心強い。
Linux Foundationの事務局長Jim Zemlineは今日の声明文の中で次のように述べている:
“The Linux FoundationはLinus TorvaldsがLinuxの開発に100%集中できるための資金を支出している。それと同じような意味でこれからは、そのほかの重要不可欠なオープンソースプロジェクトにフルタイムのサポートが与えられるために、デベロッパやメンテナを支援することができる”。
オープンソースの基本的な考え方は、できるかぎりたくさんの人が関わる〔==目玉の数が多い〕ことによって、高品質でセキュアなコードを作っていくことにある。しかし私たちが日々依存しているプロジェクトの多くが、その成長に伴って複雑性を増し、少数のパートタイムのデベロッパが関わるだけでは十分な高品質とセキュリティを確保できなくなっている。The Linux Foundationも今日(こんにち)では、そのことを重々認めている:
“ソフトウェアの質に関するCoverity Open Scanの最新の調査によると、オープンソースコードの質はプロプライエタリコードの質を上回っている。しかし、すべてのソフトウェアが成長とともにより複雑になり、しかもその高度に複雑化したシステム間における相互運用性が今では標準として求められる。したがって、デベロッパサポートの必要性も増大している”。
今後に関してCore Infrastructure Initiativeは、危機への事後対応からその積極的な予防へと変わっていくことを計画している。これからこの事業は、重要なプロジェクトに対する強力な先行的レビューにより、それらのプロジェクトが必要とするものを早期に同定していく。つまり、次のHeartbleed危機が起きるよりも前に。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))