パスワードを忘れた? アカウント作成
10938186 story
オープンソース

プロジェクトのリソース不足がオープンソースソフトウェアの脆弱性を生む? 82

ストーリー by headless
虚弱 部門より
OpenSSLのHeartbleed脆弱性でオープンソースソフトウェアの脆弱性問題が注目を集めたが、成果が広く使われているオープンソースプロジェクトであっても人的・資金的なリソースが大幅に不足していることが原因の1つだとする意見もある(SSH Communications Securityのブログ記事本家/.)。

OpenSSLプロジェクトではフルタイムの開発者は1名しかおらず、多数のボランティア開発者がパートタイムで参加しているという。実質的にはフルタイム2名分程度の労働力でコードを書き、テストや5万行に及ぶコードのレビューなどを行っていることになる。The OpenSSL Software FoundationのSteve Marquess氏は「忙しいボランティアがこのバグを見落としたことよりも、同じようなことがもっと頻繁に起こらないことの方が不思議だ」と話しているとのこと。

OpenSSHプロジェクトなど複数のプロジェクトを抱えるOpenBSDプロジェクトは資金不足に悩まされている。プロジェクトを率いるTheo de Raadt氏は、企業が率先してプロジェクトへの寄付を行い、次に企業ユーザー、最後が個人ユーザーとなるべきだ考えているが、実際には寄付の大半が個人からのものだという。OpenBSDプロジェクトは今年1月にも深刻な資金不足に陥ったが、安定した資金源が確保できなければプロジェクトが完全に停止してしまう可能性もあるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年05月05日 18時48分 (#2594684)

    昔、Linux系の記事を読んでいた時に「金はサポートと本で稼げ」と言っていた人がいた。
    実際、それは死ぬほど面倒なこと。自分なら一度作ってもう知らんと思うし、そうやってきた。

    なんて儲からない業種なんだ、OSSに準じる彼らは。
    ボランティア?彼らは金を必要としているじゃないか。
    それはつまり、金があれば仕事をするということだろう?労働者と何の違いがある。

    まあエレコム事件もわからないでもないなー、とか思った。

    • Re:OSSであるからさ (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2014年05月05日 20時14分 (#2594730)

      オラクルみたいに難解なシステムにしておいて
      サポートと資格認定でやっていくしかないと思います

      結局、資本主義経済の中では適性な対価を得るために
      プロプライエタリな仕組みを持たないとやってけないんでしょ

      親コメント
    • Re: (スコア:0, 参考になる)

      by Anonymous Coward

      正直同意する。
      霞食って生きられる奴ならそうすりゃいいけど俺は御免だ。

      「金はサポートと本で稼げ」と言っていた人がいた。

      RMSがそんな事言ってたな。それが出来る人が一体何人いるのやら。
      OSSファンボーイはそういう一握りの例外で全てを語ろうとするから話にならんし。

    • by Anonymous Coward

      むしろ最初からわかってた事だろ、
      としか思えないけどな

    • by Anonymous Coward

      昔からオープンソースってのは自称天才君の自己満足公開の場でしか無かったと
      思うんだけど控えめな言い方しても。公開するほどの暇と頭脳を持て余してないなら
      ボランティアする必要も無い。その程度のものです。

      • by Anonymous Coward on 2014年05月06日 7時02分 (#2594909)

        もしそうなら、OpenSSLなどのOSSがまともな商業活動に採用されることなんてなかっただろうし、OSSの脆弱性が大きな話題になることもなかったと思うんだけど。

        親コメント
    • by Anonymous Coward

      フリーよりもセキュリティが重要とすれば。両立が難しいならフリーは切ろう。
      オープンは常にフリーと共にある必要は無い、というポリシーはだめかな。

    • by Anonymous Coward

      rmsなフリーソフトウェアもOSSも同じだけど、大元はメーカーの都合でドライバとかを提供しなくなるくらいなら「自分で勝手にいじるから」自由に使わせろ、というのが動機
      なので、ただで使えるからありがたい、というのは副産物なのにそっちを主産物であるかのように受け取るから話がおかしくなる
      #一緒にするな、とrmsに怒られそうだが

      SSLのオープンソース実装で困るくらいなら自分で作れ、と
      特に、今回みたいな、クライアントに配布する必要なんかなく、仮にGPLだったとしても関係ないようなものならなおさらだろう、と

      • by Anonymous Coward

        最後が分からんけど、RMSの説明から途中であなたの意見に切り替わったのかな?
        SSLのオープン実装で困ったら、直すからソースよこせがRMSじゃないの?
        スクラッチからやるなら、ドライバ提供しなくても自分で作るからいいってことになるんで。

  • by pico1a (46355) on 2014年05月16日 10時38分 (#2601966)

    寄付の大半が個人からだったんだ・・・
    Apacheなんかもそうなんだろうか。

    個人、侮り難し(話ズレてる)

  • by Anonymous Coward on 2014年05月05日 18時04分 (#2594660)

    ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存
    http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html [wsj.com]

    ハートブリードが見つかった暗号化ソフトを開発する「OpenSSLプロジェクト」は、その大部分を欧州のプログラマー4人と米メリーランド州の元軍のコンサルタント1人が管理している。同チームのメンバーは総勢わずか11人で、ほとんどがボランティアで携わっており、常勤は1人だけだ。予算は年間100万ドル(約1億円)に満たない。

    限られた予算をどう使うかがプロジェクト運営の要だと思いますが、コードに関わる人とコンピュータ以外の何が予算を圧迫しているのでしょうか?

    # コンサル費用が気になる。

    • by headless (41064) on 2014年05月05日 22時34分 (#2594797)
      別コメントからリンクされているDigital Trendsの記事 [digitaltrends.com]を見てわかりましたが、「100万ドルに満たない」というのはThe OpenSSL Software Foundationの総収入で、寄付は年2,000ドル程度。収入のほとんどは企業向けのテクニカルサポート契約やコンサルティングサービスによって得ているようです。
      親コメント
      • by Anonymous Coward on 2014年05月05日 22時59分 (#2594811)

        メンバーはサポートやコンサル業務が本業で、開発はその合間を縫っての作業ということですか。
        資金提供があればもっと開発に注力できるということだったのですね。

        親コメント
    • by Anonymous Coward on 2014年05月05日 21時04分 (#2594756)

      http://opensource.srad.jp/comments.pl?sid=629087&cid=2584571 [srad.jp]

      OpenSSL の場合、経済力の問題より、ユーザは多くても検証に協力してくれる開発者が壊滅的に見えるのが大きい。
      多少の資金が増えても、袋叩きにあうのを見た後では、関心を持って参加する開発者が増えるだろうか。

      親コメント
      • by Anonymous Coward on 2014年05月06日 9時02分 (#2594924)

        資金力の違いが脆弱性の決定的差ではない事を教えてやる!

        ・・・と、3倍喧嘩っ早いTheoくんが言ったかどうかは知らない

        親コメント
      • by Anonymous Coward

        OpenSSLは酷いコードらしいですからねえ。
        わざわざボランティア≒趣味でサルが書いたコードと揶揄されるようなものを見たいとは思わないんじゃないでしょうか。

    • OSS一般の感覚は判りませんが、OpenSSLの規模でそれって少ないのでしょうか?
      フルタイムの常勤1名で、後はサーバー台やらぐらいなイメージがあるのですが・・・。
      1億円って、超簡単に考えて1人月100万円でも100人月/年ですよね?
      OpenSSLを開発できるようなスーパーマンだと、1人月1000万円ぐらいで全然足りないということ?

      • えいっと、人月150万円で考えて5名程度を想定で年間9000万円なので、
        100万~150万で4~7人前後程度を賄うと考えれば、どんぶり勘定ではそんなものかなっていう気はします。
        全員が生粋の開発者でもないだろうし、知財法務や会計、財団運営でどれだけ裂いているのかわかりませんが。
        (フルタイム1名っていうだけで、パートタイムやら、スポットでの支払いは結構あるんだろうと想定)

        追記
          https://www.openssl.org/support/acknowledgments.html [openssl.org]
        へぇ、WWWの更新滞らせているのか少し疑わしいけどNokiaがPlatinum Sponsorか。

        親コメント
        • by Anonymous Coward

          フルタイムでもないのに人月150万とかすごいですね(棒

  • by Anonymous Coward on 2014年05月05日 18時23分 (#2594672)

    人材、資金をどこから調達するか。

    寄付という手段なら、プロジェクトの方向性は開発者が決められるますが、
    それが、何らかの目的を持った組織の利に適わないから、個人からの寄付が大半なのでしょう。

    ただ、寄付以外の方法で、民間企業、政府組織・反政府組織からの出資を増やせば、
    プロジェクトが歪んでいく。(……Androidとか、OpenSSLはこれの例になるかな?)

    結局、オープンソースプロジェクトが継続性のある活動となるためには、
    どのような運営形態であるべきかという話だと思います。
    (Redhatは成功している方なのかな?)

    • by Anonymous Coward on 2014年05月05日 19時59分 (#2594720)

      ソフト/ハードの別に関わらず、安全性(脆弱性の無さを含む)というのは消費者/ユーザーにとって最後の関心事なので、あまりリソースを掛けられないのです
      まずは何が「できるか」 次に何が「できないか」 最後に何が「安全にできるか」

      自動車やおもちゃや食料の安全が重視されるようになるには長い年月がかかりました
      ソフトウェアも然り
      問題が起こらないうちから「問題が起こったら大変だ」と言うと白い目で見られたりするのです
      #問題が起こってから、なぜ放って置いたんだ、と同じ人に言われたりするので困ったものですが

      結論としては、Theo頑張れ…

      親コメント
      • by Anonymous Coward

        幸い、ソフトウェアはコピーできるので、世界中にひとつプロジェクトがあればそれで世界中の需要がまかなえます。

        それが、自動車やおもちゃや食料とは異なるところだと思います。

    • by Anonymous Coward

      非政府組織、ですよね

    • by Anonymous Coward

      商用利用は有料じゃだめなのか?

  • by Anonymous Coward on 2014年05月05日 18時38分 (#2594676)

    リソースに見合った規模のプロジェクトにすればいいだけだと思う。

    • by Anonymous Coward on 2014年05月05日 22時51分 (#2594807)

      リソースに見合った規模のプロジェクトにすればいいだけだと思う。

      それもそうだけど魅力のないプロジェクトだから、力量のないプログラマしか集まらないんでしょ。

      魅力があるプロジェクトは力量のあるプログラマが集まり、切磋琢磨し良質なプログラムを提供しあう。
      しかし魅力がないプロジェクトでは、あふれあまった力量のないプログラマしか集まらない。
      ゆえに提供されるプログラムは少々劣るものとなる。
      資金云々とは、別次元だと思う。

      たとえば魅力的な○×プロジェクトに「千行のコードを提供したよ」といったら自慢できるが、
      OpenSSLに「千行のコードを提供したよ」といっても「Heartbleedか?」と思われる。そんなところだと思う。

      親コメント
  • by Anonymous Coward on 2014年05月05日 19時16分 (#2594696)

    開発リソースが少なくってカツカツなプロジェクトでも
    プロプラや下請なら安泰ってわけでも無いし

    そもそも規模に対して人的・時間的リソースが足りないなら
    どんな開発形態でもダメじゃね?

    • by Anonymous Coward

      むしろ、失敗の原因をリソースに求めること自体が間違いだと思いますね。

      人員が多ければ、金銭的に余裕があればセキュリティが高まるというものではない、というのはInternet ExplorerやWindowsの事例からも明らかなわけですから、むしろ「金以外の方法で、優秀な開発者に積極的に参加してもらうことはできないのか」を考えて実行に移す時なんではないでしょうか。

      こう書いているところからもおわかりのとおり、私もそれに対する明確な答えは持ち合わせていないのですが・・

      • Re:OSS関係なくない? (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2014年05月05日 20時44分 (#2594743)

        > 優秀な開発者に積極的に参加してもらう

        失敗の原因をリソースに求めることを間違いとしておきながら、
        リソースの確保によってそれを解決しようとするのは何故なんでしょう。

        親コメント
      • (ソフト開発に限らずどんな仕事でもそうだと思うが)一定の品質を保つためにはある程度の人間が必要で、それが足りてないって話なんだから。

      • by Anonymous Coward

        >人員が多ければ、金銭的に余裕があればセキュリティが高まるというものではない、というのはInternet ExplorerやWindowsの事例からも明らかなわけですから

        逆でしょう。
        人員が多いおかげでセキュリティが高まっていることがInternet ExplorerやWindowsの事例からも明らかになっているのですから。

    • by Anonymous Coward

      「伽藍とバザール」は結局世迷言って事?

        • by Anonymous Coward

          こういうスタイルの文章のタイムスタンプが2010年であるということに驚愕せざるを得ない。

          # ページデザインもだけど

        • by Anonymous Coward

          伽藍とバザールよりNetscapeのオープンソース化の方が現代に与えたインパクトが大きいと思うね。
          だからFirefoxにはそろそろ終了して欲しい。そしてMySQLをオラクルが買収したことが一番正しい
          選択だったと新たな位置づけが欲しいね。企業の紐がついたオープンソースこそが正常な
          経済活動の上で成り立つオープンソース。不自由なオープンソースこそが正義だと。

          • by Anonymous Coward

            自由か不自由かはライセンスによって決まるのであって、
            担い手が企業か個人かで決まるのではないよ。

            ただオープンソースを支えるにはある程度の経済力が必要で、
            一般には個人より企業のほうがより大きな経済力を持っている。

            オープンソースの参加者にはそういう、より大きな経済力が求められているのだろうね。
            それはそれだけオープンソースソフトウェアの社会的役割が大きくなったということの証だ。
            そういう意味ではコメントの方向性には概ね賛同。

      • by Anonymous Coward

        OpenSSLって伽藍だよね

        • by Anonymous Coward

          だよなぁ。
          殆どの人が関ることの無い部分だよね。

          じゃあオープンである意味があるかというと、
          Jpeg特許みたいな問題が突然発生しないから当然長所だけど。

          ハートブリード問題も変にいじっちゃったのが原因で、保守されてれば別に起きなかったし。

          Zlibの脆弱性問題ってどう収束したんだっけ・・・。

  • by Anonymous Coward on 2014年05月05日 20時20分 (#2594733)

    そんなもの日本じゃ10年以上前に(ゲフンゲフン

    • by Anonymous Coward

      アレは資金があっても運営がだめなものはだめという例だろ。

  • by Anonymous Coward on 2014年05月05日 21時28分 (#2594769)

    あれを発見するためには、SSLの仕様を知り尽くしていないといけないわけで、そんな人が全世界に何人いるか…。

    みずほのシステム部隊の全員をフルタイムで投入しても見つかる気がしない。

  • by Anonymous Coward on 2014年05月05日 21時58分 (#2594789)

    新機能を追加したところに問題があったのではないか

  • by Anonymous Coward on 2014年05月05日 22時10分 (#2594793)

    優秀な人材にはそれなりの報酬が必要だってことですよ。
    まあ報酬が良くても良い人材が集まるわけじゃないのが難しいところなんだけどね。

  • by Anonymous Coward on 2014年05月05日 23時23分 (#2594822)

    とかくテストやコードレビューという地味な仕事を
    率先してやってくれる殊勝なメンバーなんてそうそう居ないのが現実では?

    きちんとテスト等をするには化石的な手法で地道にやるしかないわけで
    仮にメンバーが増えたところでそういう仕事をやってくれるとは考えにくいかと。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...