セキュリティの観点から議論される、オープンソース開発者への適切な対価の必要性

今回は「セキュリティの観点から議論される、オープンソース開発者への適切な対価の必要性」についてご紹介します。

関連ワード (ソフトウェア等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 この数週間は、オープンソースとサイバーセキュリティが交錯するという観点で興味深いものだった。まず「Apache Log4j」問題をきっかけにした、オープンソースのセキュリティに関する新たな展開があった。そして、あるJavaScript開発者がその待遇に不満を抱き、自ら開発したライブラリーを意図的に破損させるという事件も発生した。

 筆者は、「オープンソースの脆弱性」という言葉を目にするとショックを隠せない。というのもこの言葉について、各国政府はサイバー世界の差し迫った問題だと捉えているようだが、実際には金銭的な問題という色合いが濃いためだ。

 オープンソースライセンスの下、特に1人だけのプロジェクトとして開発を進めていくというのは、始めのうちは素晴らしいものだ。大きな注目を集めることなく、ユーザーや仲間の開発者がソフトウェアを改善していくために手を貸してくれる。しかし、多国籍企業や政府がそのソフトウェアを無償で利用し始めるようになる段階になると、Fortune 500企業を無償で支援していくという意思決定を下した一介の開発者に対する同情を筆者は禁じ得なくなる。

 無限ループやZalgoテキストを仕込むという手法を取るのはゆがんでいたかもしれないが、それなりの規模の組織がコードを検査せず、あるいはテスト環境でまず実行せずに、ダウンロードして実行してしまうというのはどういうことなのだろうか。数多くのNode.jsアプリが使えなくなったのは残念だが、破壊的な状況をもたらすものではなかったというのは不幸中の幸いだ。

 影響を受けた組織は今回の一件で、報われていない開発者にさらに追い討ちをかけるのではなく、無料のサイバー/ソフトウェアサプライチェーン監査の機会だったと捉えるべきだ。

 ここ数カ月間、ウェブコミック「xkcd」の2347番が注目を集めているのには理由がある。それは、この問題の核心が暴き出されているためだ。

 xkcdの内容/背景を説明するファンサイトでの説明には、「私はThe Linux Foundationで、『OpenSSL』などのプロジェクトをサポートする『Core Infrastructure Initiative』(CII)プロジェクトに携わっていた」と記されており、次のように続けられている。

 「XMLパーサーの『Expat』が、日曜の午後には何もすることがないだろうという前提の下、2人の開発者の交代制でメンテナンスされていたって点が恐ろしかった。テストスイートのための資金は提供してもらっていた」

 今日のインターネットを支えているスタックは実際のところ、このようなかたちで機能しているという点で、このコメントに疑いを差し挟む理由はほとんどない。各スタックの奥深くでは週末頼りという状況が存在している。

 大手IT企業が四半期ごとに数十億ドル規模の売上高を計上している一方で、そのどこかで多用されているライブラリーはこれら業界大手から1セントも得ていないのだ。それ自体は違法ではないものの、無償の労働力から利益を得るにはこういった企業は少しばかりリッチすぎるのではないだろうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
倉庫に預けた書類をすぐに電子化 寺田倉庫「リモートスキャン」提供開始
DX
2021-05-12 02:30
フェイスブックがバグ懸賞プログラムに「支払い遅延ボーナス」を追加
セキュリティ
2021-07-15 20:20
「Bing」のAIチャット機能、利用制限がさらに緩和へ–1回20ターンに
IT関連
2023-03-31 19:42
川崎重工業、製造の品質管理でベルギー企業とのブロックチェーンPoCを完了
IT関連
2024-04-14 16:45
2月のイベントに向けてサムスンがGalaxy SとNoteの融合を予告
IT関連
2022-01-22 06:49
Cloudflare、CDNエッジでサーバレスなSQLiteを提供する「Cloudflare D1」正式リリース。非同期レプリケーションによる分散データベース機能も
Cloudflare
2024-04-02 12:48
伊藤忠商事、ウイングアーク1stの「SVF TransPrint」採用–請求書などの発送をデジタル化
IT関連
2021-02-15 10:13
クラウドフレア・ジャパン新社長が自らの経験から語った「日本法人の役割」
IT関連
2022-03-26 04:30
ゴールは信頼の醸成–セールスフォースの「最高信頼責任者」の活動とは
IT関連
2023-03-07 06:31
グローバルのクラウドインフラ市場、市場の成長率が鈍化する中でAWSがシェア30%超を維持、AzureとGoogle Cloudは堅調。2022年第4四半期、Synergy ResearchとCanalysの調査結果
AWS
2023-02-14 17:07
鉄建建設、3Dセンサーで鉄道工事の線路内侵入を自動検知
IT関連
2022-12-02 01:38
日本オラクル、「3省2ガイドライン」対応のリファレンス公開
IT関連
2022-08-03 15:31
IBMが買収を決めたHashiCorp、市場での評価と狙い
IT関連
2024-05-09 14:23
サイバー犯罪のプロフェッショナル化–ウィズセキュア調査
IT関連
2023-05-27 10:22