パスワードを忘れた? アカウント作成
12810059 story
Mozilla

Mozilla、オープンソースソフトウェアのセキュリティ向上のための基金を創設 40

ストーリー by headless
資金 部門より
Mozillaは9日、オープンソースのセキュリティ向上を進めるための基金「Secure Open Source Fund (SOS Fund)」の開始を発表した(The Mozilla Blogの記事BetaNewsの記事Softpediaの記事V3.co.ukの記事)。

HeartbleedやShellshockのように一般向けのニュースにも取り上げられるようなオープンソースソフトウェアの重大な脆弱性が見つかっているにも関わらず、現在でもオープンソースソフトウェアのセキュリティを向上させるための十分な援助が行われているとはいい難い状況だという。

SOS FundはMozilla Open Source Support(MOSS)プログラムの一部となる。当初は50万ドルが割り当てられ、重要なオープンソースプロジェクトについて、セキュリティ監査と修正、修正の検証という3つのステップで必要な資金や人材を提供する。既に3件のオープンソースソフトウェアでテストを行い、合計43のバグを発見・修正したとのこと。

MozillaではSOS Fundがきっかけとなり、オープンソースソフトウェアを使用する多くの企業や政府がセキュリティ向上のための資金を援助するようになることを望んでいるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • リソースの配分なような気もしないでもないが
    リソース不足の所に資金を使って配分を調整するという意味では資金は必要か…。

  • by Anonymous Coward on 2016年06月12日 22時02分 (#3028571)

    > オープンソースソフトウェアを使用する多くの企業や政府がセキュリティ向上のための資金を援助するようになることを望んでいるとのことだ

    その企業や政府が金を出しくれていれば問題なかったのにね。フリーソフトウェアはこれが現実だよ
    オープンソースはフリーソフトと決別すべき時なのかも

    • Re:根本は (スコア:1, 興味深い)

      by Anonymous Coward on 2016年06月13日 8時15分 (#3028649)

      > オープンソースはフリーソフトと決別すべき時なのかも

      すみませんが意味がわかりません。

      あなたの考えるフリーソフトとは何でしょうか?

      1. FSFが作ったソフトウェア?
      2. GNU GPLが適用されるソフトウェア?
      3. フリーソフトウェアの定義 [wikipedia.org]に合致するソフトウェア?

      もし1だとすると、FSF自体が昔から企業スポンサーによって支えられています。
      もし2だとすると、たとえばLinux(カーネル)が含まれますが、Linuxそのものを飯の種にしている企業がいくつもありますよね。
      もし3だとすると、オープンソースとほぼ同じ範囲を指すことになります。

      親コメント
    • by Anonymous Coward

      今後は、すべてAIに任せればいいんだよ

      • by Anonymous Coward

        で、ジャッジメント・デイに世界中のシステムが一気にAIに乗っ取られるわけですね。

    • by Anonymous Coward

      ボランティアベースでどうやって継続的な開発や保守が続けられるのか考えていかないとね。有志からの募金も手段の一つ。

    • by Anonymous Coward

      フリーソフトとフリーソフトウェアは意図的に書き分けてるのかな。
      これってフリーソフトウェア(多分FSFの方)は、コントリビュートしないけれど意見だけ言いたい人はキリスト教で言う免罪符を買えって主張してるんじゃないの?
      「お金を払いましょうよ、そしてセキュリティに関する要望を開発者に聞いてもらいましょう!」って言ってるのが、フリーソフトウェアを使う企業側でもあるMozilla(実際報奨金対象となっているものにブラウザに関わるJPEGのライブラリがある)であって、開発者側はお金を要求していないように見える。
      Mozillaは加えて人材も送ることで、フリーソフトウェア側に自分の要望(今回はセキュリティに関する改善)を通しやすくする狙いじゃないのかな。
      JPEGのライブラリとか、もろに自分のところの製品の品質に関わってくるところだし。

      有料ソフトウェアにしても、開発者に意見を聞いてもらうためには結局札束を積まなくちゃいけないのは変わらないのでは?

      • Re:根本は (スコア:4, 興味深い)

        by Anonymous Coward on 2016年06月13日 10時44分 (#3028702)

        自分でコードを書くのも、金でエンジニア雇ってコード書いてもらうのも、ファンドにお金を払って支援するのも全部同じことですよ。
        そこでエンジニアの雇用が生まれるというのもストールマンとかが提唱するビジネスモデルの一つなわけですから。
        なんだかトピの他のコメとかを見てると嫌儲みたいな勘違いをしてる人がいそうな感じですね。フリーソフトウェアのフリーというのは「自由(フリー)な言論」のフリーであって「無料(フリー)のビール」のフリーではありません。

        まぁ、ともあれお金をファンドに送って要望を伝えるというのは結構一般的な方法ですよね。

        「君たちの一部は、われわれは極端すぎるという。だが間違った伝え方で。君はメールを送ってきてこう言う。
        『あんたたちは極端すぎる。もっとメインストリームにならないと。』
        わたしも賛成だ。いくつもの戦いを経てきたシンボルとして、EFFは偉大な組織だとわたしは思っている。だが、その戦い方にも変革は必要だ。力を貸して欲しい。泣き言によってではなく、「もっとメインストリームに!」と書いた小切手を送ることで。小切手だ、いいかい? これが、この戦いを変えるために君たちが慣れなければならない考え方だ。」

        ローレンス・レッシグ OSCON2002 [youtube.com]

        親コメント
      • by Anonymous Coward on 2016年06月13日 1時07分 (#3028617)

        これってフリーソフトウェア(多分FSFの方)は、コントリビュートしないけれど意見だけ言いたい人はキリスト教で言う免罪符を買えって主張してるんじゃないの?

        今も昔もコードを書く気はないが要望を聞いてほしい場合金を払うってのはそれなりに一般的な手ですよ。免罪符を買えっていうよりは用心棒代を請求しているといったほうがいいかもな。免罪符は気休めにしかならんがこの財団は受け取った金を使ってセキュリティ面の強化をするからな。
        知名度が低いソフトだと寄付が集まらない傾向はあるからこういう知名度の高い組織が看板になって寄付を募るのは良い手ですよ。
        寄付金の配分について確認してから寄付したほうがいいでしょうし具体的に寄付したい相手がいるなら直接寄付したほうがいいけど。看板を貸すだけではなく金も出しているところに好感が持てますね。

        親コメント
    • by Anonymous Coward

      > その企業や政府が金を出しくれていれば問題なかったのにね。フリーソフトウェアはこれが現実だよ
      > オープンソースはフリーソフトと決別すべき時なのかも

      企業は、フリーソフトウェアには金を出さないが、オープンソースには金を出すということでしょうか?

      「オープンソース」は、対企業マーケティングのために、左翼っぽいイメージを持つフリーという言葉を
      使わないで、同じ物を言い換えただけの言葉です。同じものを、名前だけを変えて売ることができたのなら、
      マーケティングとして大成功ですね。

      • by Anonymous Coward

        オープンソースとストールマンの言うフリーソフトの間には断絶があるが。
        オープンソースなら実態はともあれソースコードの使用や改変を制限できるからな。

        • オープンソースなら実態はともあれソースコードの使用や改変を制限できるからな。

          Open Source Initiativeによるオープンソースの定義によれば、「ソースコードの使用や改変を制限」するような配布形態は、オープンソースとして認められません。

          以下該当箇所:

          3. 派生的著作物

          オープンソースライセンスは改変と派生的著作物を許容しなければならない。また、派生的著作物が元のソフトウェアと同じ条項において配付されることを許容しなければならない。

          (略)

          6. 使用領域に関する差別の禁止

          オープンソースライセンスは、誰かが特定の領域でプログラムを利用することを制限してはならない。たとえば、商用利用や、遺伝学研究における利用を制限してはならない。

          #3028745 [srad.jp]が指摘しているように、これらの要件は、GNUプロジェクトによるフリーソフトウェアの定義と実質的に同等のものです。

          親コメント
          • by Anonymous Coward

            Open Source Initiativeによるオープンソースの定義によれば、「ソースコードの使用や改変を制限」するような配布形態は、オープンソースとして認められません。

            その定義はOpen Source Initiativeによるオープンソースの定義に過ぎないんだよね。オープンソースは多種多様な組織と人物に好き勝手に使われているからオープンソースソフトウェアという単語にはソースコードが公開されたソフトウェアという程度の意味しかない。
            左翼っぽいイメージを持つフリーという言葉を使わないで、同じ物を言い換えただけの言葉として発明されたオープンソースという単語はいまでは発案者の意図を超えて使われてしまっている。

            • その定義はOpen Source Initiativeによるオープンソースの定義に過ぎないんだよね。

              SOS FundはMozilla Open Source Support (MOSS)の一環ですが、そのMOSSはOSIの定義を “Open Source” として明示的に参照しています。したがって、本ストーリーに関する限り、基本的にはOSIの用語法にもとづいて「オープンソース」の語を使うのが妥当かと思います。

              • MOSS [mozilla.org]
              親コメント
            • by Anonymous Coward

              >その定義はOpen Source Initiativeによるオープンソースの定義に過ぎないんだよね

              オープンソースという用語を考案し広めたEric Raymondが設立した団体です。
              Eric RaymondおよびOSIがオープンソースに関する思想を打ち立てて広め成功させたた功績は大きいですし、
              オープンソースに携わる人ならOSIが提唱する定義に反対する人はまずいないと思いますが。

              >左翼っぽいイメージを持つフリーという言葉を使わないで、同じ物を言い換えただけの言葉として発明されたオープンソースという単語はいまでは発案者の意図を超えて使われてしまっている。

              そんな使われ方は知らないし、あったとしても誤用です。
              言葉の定義は、あるていどはきちっと決まっていないと、意思疎通に支障をきたします。

              • by Anonymous Coward

                脳内定義で使った挙げ句逆ギレした会社 [linux.srad.jp]とかもありましたね。

              • by Anonymous Coward

                フリーソフトを言い出したストールマンはOpen Source Initiativeがオープンソースと定義しているmitライセンスを非自由ソフトウェアとして批判している。オープンソースという単語は同じ物を言い換えただけの言葉ではなく自由ソフトウェアの(少なくとも考案者にとって)必要な要素を抜き取ったものです。そしこの抜き取られた要素が営利企業にとって邪魔なものでもある。企業以外にとってもコピーレフトの強制は面倒なんだが。

              • フリーソフトを言い出したストールマンはOpen Source Initiativeがオープンソースと定義しているmitライセンスを非自由ソフトウェアとして批判している。

                GNUは(≒RMSは)MITライセンス(X 11ライセンス)をフリーソフトウェアライセンスのひとつに数えていますし、「小さなプログラムのための優れたライセンス」とまで言っています。したがって「mitライセンスを非自由ソフトウェアとして批判している」は誤りです。

                フリーソフトウェアの定義は、MITライセンスのようにコピーレフトでないpermissiveなライセンスを排除しません。

                RMSが批判しているのはオープンソース「運動」であって、オープンソース・ソフトウェアあるいはライセンスではありません。オープンソースの定義そのものはフリーソフトウェアの定義と実質的にほとんど同等です(看板を付け替えたものなのだから当たり前ですが)。

                親コメント
              • by Anonymous Coward

                http://internet.watch.impress.co.jp/www/article/2003/0425/stallman.htm [impress.co.jp]
                 ストールマン氏の理想である自由を守るための方法の1つが、Copyleftという考え方だ。これは、「GNU GPL」という形でライセンス供与されている。Copyleftは、著作権(Copyright)を元にした考え方だ。GNU GPLでは、ある条件に基づいてソフトウェアを自由に改変し、配布し、コピーする権利を認めている。その条件とは、改変したソフトウェアを公開する場合、そのソフトウェアも“自由”が保障されていなくてはならないというものだ。

                 この考え方は、MITの「Xwindow」の失敗を

              • もちろんRMSはソフトウェアを使う自由のためにコピーレフトが重要だと主張しています。

                しかし、GNUプロジェクトはコピーレフトでないライセンスをフリーソフトウェアと認めていますし(*1)、GNUプロジェクトは実際にコピーレフトでないライセンスをフリーソフトウェアライセンスとしてリストアップしています(*2)。したがって「mitライセンスを非自由ソフトウェアとして批判している」は誤りです。

                *1について。What is free software? [gnu.org]よりGNUによるフリーソフトウェアライセンスの定義の一部を引用します。

                Freedom 3 (引用車註: 改変物を配布する自由)は、フリーソフトウェアを改変して、それをリリースする自由です。フリーライセンスは他のリリース方法を許容することもできます。つまり、フリーライセンスはコピーレフトライセンスでなくても構いません。ただし、改変されたバージョンが非自由であることを要求するライセンスはフリーライセンスではありません。

                *2については、Various Licenses and Comments about Them [gnu.org]の中で、“permisive”とされているものを見てください。

                親コメント
              • 念のため、いくつかの対立軸について雑駁に整理します。

                フリーソフトウェア 対 オープンソース・ソフトウェア:

                定義の文面は違えど実質的には同じものであり、「使用、配布、改変、改変物の配布が自由にできること」がその主な内容です。

                フリーソフトウェア運動 対 オープンソース運動:

                フリーソフトウェア運動はソフトウェアにおける自由を推し進める運動であり、主要なアクターはFSF、その設立者であるRMSです。これに対してオープンソース運動は、自由なソフトウェアの技術的な優位性に力点を置いた運動であり、主要なアクターはOSIです。

                オープンソース運動はフリーソフトウェア運動の分派とみなすことができます。RMSはオープンソース運動を、自由を軽視するものであるとして批判しています。

                コピーレフト 対 permissive:

                改変物がフリーソフトウェアあるいはオープンソースであることを要求する配布形態がコピーレフトであり、改変物が非自由であることを許容する配布形態がpermissiveです。フリーソフトウェア=オープンソースのライセンスのうち、コピーレフトな物にはGPL, LGPL, AGPLなどがあり、permissiveな物にはBSDライセンス、MITライセンス、Apacheライセンスなどがあります。

                RMSは自由を推し進めるための武器として、コピーレフトの重要性を主張しています。このため、FSFが推進するGNUプロジェクトでは、主としてコピーレフトライセンスであるGPLが採用されています。

                親コメント
        • by Anonymous Coward

          理念は違います。たとえば、ストールマンは、「オープンソース」という呼び方は「フリー」という語を含まないのを批判していますが、
          それは、彼が自由が最も大切だと考えるからです。また、ストールマンはプロプライエタリなソフトウェアに対して敵対的ですが、
          オープンソースは、現実のソフトウェア産業(主にプロプライエタリなソフトウェアで商売してる)と仲良くやっていこうという理念ですね。
          が、ソースコードの利用や改変を制限できるかどうかという観点(ライセンス的な観点)では、両者はほぼ同じものです。

          ところで、ソースコードの使用や改変を制限できるのは個別のライセンスです。
          一方、オープンソースやフリーソフトウェアの定義は、ライセンスが満たすべき要件を定義していますが、
          個別のライセンスを指定しているわけではありません。
          たとえば、GPLとか修正BSDライセンスとかApacheライセンスとかのライセンスを持つソフトウェアは、
          オープンソースでもあり、かつ、フリーソフトウェアでもあります。

          • by Anonymous Coward

            >オープンソースは、現実のソフトウェア産業(主にプロプライエタリなソフトウェアで商売してる)と仲良くやっていこうという理念ですね

            じゃあなんでOSS信者はいつもプロプラ叩きばかりやってるの?

            • by Anonymous Coward

              叩いたことなんてないよ
              プロプライエタリなソフトウェアが
              オープンソースに追いつけない嫉妬心がそう錯覚させているんでしょう

              • by Anonymous Coward

                叩いたことなんてないよ
                プロプライエタリなソフトウェアが
                オープンソースに追いつけない嫉妬心がそう錯覚させているんでしょう

                並行世界の住人なのかおかしなハーブでもやってるのか…

            • by Anonymous Coward

              プロプラ叩きやってるのは、クレクレ君かフリーソフトウェア信者でしょう。
              OSS信者というのはあなたの思い込みに過ぎないのでは。

            • by Anonymous Coward

              プロプラ信者同士でも、互いに叩き合ってますよね。
              それと同じ事です。他を叩きたい奴はどこにでもいます。
              別にOSS関係者は聖人君子の集まりではないですので、
              他の集団と同じくらいの割合で、他を叩きたい奴が含まれていても不思議ではありません。

              ところで、プロプラ叩き「ばかり」をやっているというのは事実に反します。
              プロプラ叩き「ばかり」をやっていることを前提とするような#3028800の発言は、
              OSS関係者を不当におとしめるものであり、OSS叩きだと言えます。

          • by Anonymous Coward

            だってフリーが無料の意味でしか見てくれないし。。

            日本語には「自由」と「無料」という単語あるのだから「自由」を使ってほしい的なこと言ってた人居たなぁ。
            誰だっけ?

            • by Anonymous Coward

              RMS。

              jiyuu softwareとか言ってたような、と ぐぐる [google.co.jp]と「自由 ソフトウェア」と翻訳したうえで検索するようなので
              bingる [bing.com]と見つかった

              http://srad.jp/story/03/05/27/1521225/ [srad.jp]

              フリーソフトは自由に関わる問題です。"Free"という言葉が英語では二つの意味を持つので、
              わかりにくいのですが、幸運なことに日本語では二つの違う意味になっています。つまり、あなたが日本語で
              "Jiyuu Na Sofuto"と言えば、これ

  • by Anonymous Coward on 2016年06月12日 19時36分 (#3028520)

    ユーザーインターフェイスは気に入ってたんだけどなぁ

    • by Anonymous Coward

      いつからViXがオープンソースになったの? 公式サイトも消えて作者は行方不明だと思ってたんだが。かつての日記ではOSS化にも否定的なことを書いていたような。

      • by Anonymous Coward

        オープンソースでもなけりゃどういったプロジェクトが対象とされているのかもわかっていない

        • by Anonymous Coward

          「オープンソースプロジェクト」と力いっぱい書かれているように見えるのですが文字は読めますか?

          • by Anonymous Coward

            あなたがレスした元コメの
            「オープンソースでもなけりゃどういったプロジェクトが対象とされているのかもわかっていない」
            というのは
            ViXの「ユーザーインターフェイスは気に入ってたんだけどなぁ」にかかっています。
            レスした場所が紛らわしいけど。
            おそらく「いつからViXがオープンソースになったの?」の同意や補足みたいなつもりなんだろう。

            でもあなたのレスは同意や補足には見えないので元レスの意味を取り違えてるようにしか見えない。
            レスした場所を間違えた可能性はあるが……

  • by Anonymous Coward on 2016年06月12日 23時31分 (#3028601)

    すでに [opensource.srad.jp]ストーリーになっていたのね。

  • by Anonymous Coward on 2016年06月13日 9時49分 (#3028679)

    資金が無くても機能追加/強化は行われるけどセキュリティは向上しない不思議

    • Re:資金ねえ (スコア:3, 興味深い)

      by Anonymous Coward on 2016年06月13日 10時02分 (#3028686)

      だってそういうのって楽しくねえじゃん。すでにあるコードをセキュアに改良するには広範な変更が必要でプロジェクトの決定権を握ってる連中の説得に苦労するし。それでも危険極まりない脆弱性が見つかればなんとかして直す場合が多い。
      なんとかできないプロジェクトはその場で解散するか脆弱性を無視するかだな。

      親コメント
    • Re:資金ねえ (スコア:1, 興味深い)

      by Anonymous Coward on 2016年06月13日 10時15分 (#3028691)
      楽しいことは無償で開発する。
      なので機能は実装されていく。

      楽しくないことは人が集まりにくい。
      セキュリティ用のコード実装しても見た目に現れない事がほとんどだし。
      だからお金というインセンティブでモチベーションを維持しようとする。

      だけどそのうち
      払った側からすれば、投資分だけ利益を独占したい。←プロプラ的
      ってなってしまわないか心配。

      街のゴミ拾いボランティアのようなセキュリティ対策のコードを提供してくれる人を募った方がいいんだろうけどね。
      表彰なり開発者リストの先頭にあげてあげるなりお金以外のインセンティブで。
      報酬があるならボランティアと言えないかもしれないけど、やる人いない現実あるんだし。
      親コメント
      • by Anonymous Coward

        >払った側からすれば、投資分だけ利益を独占したい。
        「あなた方が発見/報告した脆弱性を最優先で修正します」
        でいいのかな?
        年中無休24時間体制で受け付けますとか。

    • by Anonymous Coward on 2016年06月13日 10時15分 (#3028692)

      誰だって、食事の後の片付けはしたくないものさ

      親コメント
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...