2022年、Linuxとオープンソース開発者の最優先事項はセキュリティ

今回は「2022年、Linuxとオープンソース開発者の最優先事項はセキュリティ」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Linuxはあらゆるところで使われている。あらゆるクラウドで（Microsoft Azureも含めて）使われているだけでなく、「TOP500」のスーパーコンピューターも、そのすべてがLinuxで動いている。また、Pornhubの記事を信じるとすれば、デスクトップの分野でもLinuxが増えており、「Windows」ユーザーが3％減少している一方で、Linuxユーザーは28％増加したという。

　また、オープンソースソフトウェア（OSS）も飛躍的に成長している。Gartnerが発表した2021年版「Hype Cycle for Open-Source Software」（オープンソースソフトウェアのハイプサイクル）では、「2025年までに、企業の70％でOSSに対するIT支出が現在よりも増加する。それに加えて、2025年までには、OSSの利用モデルとしてサービスとしてのソフトウェア（SaaS）が好まれるようになる。これは、運用のシンプルさ、セキュリティ、スケーラビリティを提供できるためだ」と述べている。

　Gartnerは、エンタープライズソフトウェアの根幹であるデータベースに関しても、新たに導入される社内アプリケーションの70％以上がオープンソースデータベースを使用して開発されると述べている。また2025年には、既存のプロプライエタリなリレーショナルデータベースのインスタンスの50％がオープンソースのDBMSに転換済みか、転換される過程にあると予想している。

　Linuxとオープンソースが生まれた頃からそれらについて追いかけてきた筆者は、これらの数字は当たると見ている。どこに行って誰と話しても、ソフトウェア業界を動かしているのがLinuxとOSSであることを認めない人はいない。

　しかし、スパイダーマンが言うように、大いなる力には大いなる責任が伴う。多くの開発者は、Javaのオープンソースのログ出力ライブラリーである「Apache Log4j2」に脆弱性が発見されたことで、そのことを痛いほど理解した。

　Log4j2の問題は、これ以上ない最悪の状況に陥っている。この脆弱性はCVSS v3の評価基準で10.0と評価されている。つまり悪夢だ。

　オープンソース自体に問題があるわけではない。オープンソースの手法とセキュリティの間に、何か不思議な関係があるわけではないからだ。セキュリティに影響を与えるようなミスが、コードに紛れ込むことはあり得る話だといえる。

　Linusの法則と呼ばれるものがある。その内容は「十分な数の人の目があれば、どのようなバグも深刻ではない」というものだ。しかし、もしチェックしている開発者の数が不足していれば、脆弱性が気づかれないままになる可能性はある。Bruce Schneier氏が言うように、「セキュリティは製品ではなくプロセス」なのだ。これは、すべてのソフトウェアのセキュリティを確保するためには、常に注意を払い続ける必要があることを意味している。