［米国］
「オープンソース・ソフトのセキュリティ・バグは1,000行に1件」

国土安全保障省の外郭団体が明らかに

（2008年01月10日）

　米国国土安全保障省（DHS）の外郭団体である「Open Source Hardening Project」は1月9日、現在普及している180種類のオープンソース・ソフトウェアのソースコードの中に、セキュリティ上の不具合が1,000行当たり平均1件含まれていることを明らかにした。

　Open Source Hardening Projectは、オープンソース・ソフトウェアの不具合を低減するプロジェクト・チームである。DHSが資金を提供し、米国CoverityとStanford 大学が実務を担当している。

　DHSは2006年3月以降、Open Source Hardening Projectに30万ドルの資金を投入し、政府機関のWebサイトやアプリケーション開発者が利用している180種類のオープンソース・ソフトウェアのソースコードを調査した。

　その結果、調査対象となったほんんどのオープンソース・ソフトウェアに、複数のセキュリティ上の不具合が存在していたことが明らかになった。

　現在、不具合を指摘されたオープンソース・ソフトウェア・プロジェクトの多くは、不具合を根気強く修正している最中だという。Open Source Hardening Projectは、調査したオープンソース・ソフトウェア・プロジェクトを「Rung 0（特定された不具合の修正作業に着手していない段階）」「Rung 1（特定された不具合を修正中）」「Rung 2（特定された不具合の修正完了／次なる不具合の一掃プロセスへ移行）」にランク分けし、不具合の修正を完了した11のオープンソース・ソフトウェア・プロジェクトをRung 2にランキングした。

　Rung 2にランキングされたオープンソース・ソフトウェア・プロジェクトとしては、Amanda、NTP、OpenPAM、OpenVPN、Overdose、Perl、PHP、Postfix、Python、Samba、TCLがある。ちなみに、調査対象となったオープンソース・ソフトウェア・プロジェクトには、Apache、Linuxカーネル、Firefoxなども含まれている。

　Coverityのオープンソース・ストラテジストであるデビッド・マックスウェル（David Maxwell）氏によると、Rung 2はOpen Source Hardening Projectが定める最高位のセキュリティ・ランクであり、Rung 2にランキングされるためには、セキュリティだけでなく品質上の不具合も解消する必要があるという。

　例えばSambaプロジェクトでは、45万行のコードで236件の不具合が発見され、そのうちの228件が修正されている。

　なお、Rung 2にランキングされたオープンソース・ソフトウェア・プロジェクトには、Coverityからバグスキャニング製品「Prevent 3.6」が提供されるという。

(Matthew Broersma／Techworld.com)