十分な額の資金があれば、すべてのバグは深刻ではない? 55
ストーリー by headless
法則 部門より
法則 部門より
2014年、オープンソースコミュニティーは重大なセキュリティ問題に直面した。これについてLinux FoundationのJim Zemlin氏は、資金不足のプロジェクトに対する援助が必要との考えを示したとのこと(
eSecurity Planetの記事、
本家/.)。
Zemlin氏は「十分な数の目玉があれば、すべてのバグは深刻ではない」という、いわゆるLinusの法則を引用し、「これらのケースでは実際に目玉が見ていなかったのだ」と述べたという。現在のソフトウェアは非常に複雑であるため、現在のソフトウェアセキュリティーは非常に難しいと述べ、援助の必要なプロジェクトには資金を提供する必要があるとしている。現在、Linux FoundationのCore Infrastructure Initiative(CII)ではNTPやOpenSSL、GnuPGに対する資金援助を行っており、対象プロジェクトは今後も増えることが見込まれる。なお、CIIでは資金援助に加え、Core Infrastructure Censusによるバグ発見の手助けと、すべてのオープンソースプロジェクトに適用可能なセキュリティーのベストプラクティス構築を3つの重要なイニシアチブと位置付けているとのことだ。
Zemlin氏は「十分な数の目玉があれば、すべてのバグは深刻ではない」という、いわゆるLinusの法則を引用し、「これらのケースでは実際に目玉が見ていなかったのだ」と述べたという。現在のソフトウェアは非常に複雑であるため、現在のソフトウェアセキュリティーは非常に難しいと述べ、援助の必要なプロジェクトには資金を提供する必要があるとしている。現在、Linux FoundationのCore Infrastructure Initiative(CII)ではNTPやOpenSSL、GnuPGに対する資金援助を行っており、対象プロジェクトは今後も増えることが見込まれる。なお、CIIでは資金援助に加え、Core Infrastructure Censusによるバグ発見の手助けと、すべてのオープンソースプロジェクトに適用可能なセキュリティーのベストプラクティス構築を3つの重要なイニシアチブと位置付けているとのことだ。