Mozilla、オープンソースソフトウェアのセキュリティ向上のための基金を創設 40
ストーリー by headless
資金 部門より
資金 部門より
Mozillaは9日、オープンソースのセキュリティ向上を進めるための基金「Secure Open Source Fund (SOS Fund)」の開始を発表した(The Mozilla Blogの記事、
BetaNewsの記事、
Softpediaの記事、
V3.co.ukの記事)。
HeartbleedやShellshockのように一般向けのニュースにも取り上げられるようなオープンソースソフトウェアの重大な脆弱性が見つかっているにも関わらず、現在でもオープンソースソフトウェアのセキュリティを向上させるための十分な援助が行われているとはいい難い状況だという。
SOS FundはMozilla Open Source Support(MOSS)プログラムの一部となる。当初は50万ドルが割り当てられ、重要なオープンソースプロジェクトについて、セキュリティ監査と修正、修正の検証という3つのステップで必要な資金や人材を提供する。既に3件のオープンソースソフトウェアでテストを行い、合計43のバグを発見・修正したとのこと。
MozillaではSOS Fundがきっかけとなり、オープンソースソフトウェアを使用する多くの企業や政府がセキュリティ向上のための資金を援助するようになることを望んでいるとのことだ。
HeartbleedやShellshockのように一般向けのニュースにも取り上げられるようなオープンソースソフトウェアの重大な脆弱性が見つかっているにも関わらず、現在でもオープンソースソフトウェアのセキュリティを向上させるための十分な援助が行われているとはいい難い状況だという。
SOS FundはMozilla Open Source Support(MOSS)プログラムの一部となる。当初は50万ドルが割り当てられ、重要なオープンソースプロジェクトについて、セキュリティ監査と修正、修正の検証という3つのステップで必要な資金や人材を提供する。既に3件のオープンソースソフトウェアでテストを行い、合計43のバグを発見・修正したとのこと。
MozillaではSOS Fundがきっかけとなり、オープンソースソフトウェアを使用する多くの企業や政府がセキュリティ向上のための資金を援助するようになることを望んでいるとのことだ。
資金の問題ではあるかと思うが (スコア:2)
リソースの配分なような気もしないでもないが
リソース不足の所に資金を使って配分を調整するという意味では資金は必要か…。
根本は (スコア:1)
> オープンソースソフトウェアを使用する多くの企業や政府がセキュリティ向上のための資金を援助するようになることを望んでいるとのことだ
その企業や政府が金を出しくれていれば問題なかったのにね。フリーソフトウェアはこれが現実だよ
オープンソースはフリーソフトと決別すべき時なのかも
Re:根本は (スコア:1, 興味深い)
> オープンソースはフリーソフトと決別すべき時なのかも
すみませんが意味がわかりません。
あなたの考えるフリーソフトとは何でしょうか?
1. FSFが作ったソフトウェア?
2. GNU GPLが適用されるソフトウェア?
3. フリーソフトウェアの定義 [wikipedia.org]に合致するソフトウェア?
もし1だとすると、FSF自体が昔から企業スポンサーによって支えられています。
もし2だとすると、たとえばLinux(カーネル)が含まれますが、Linuxそのものを飯の種にしている企業がいくつもありますよね。
もし3だとすると、オープンソースとほぼ同じ範囲を指すことになります。
Re:根っこは (スコア:0)
今後は、すべてAIに任せればいいんだよ
Re: (スコア:0)
で、ジャッジメント・デイに世界中のシステムが一気にAIに乗っ取られるわけですね。
Re: (スコア:0)
ボランティアベースでどうやって継続的な開発や保守が続けられるのか考えていかないとね。有志からの募金も手段の一つ。
Re: (スコア:0)
フリーソフトとフリーソフトウェアは意図的に書き分けてるのかな。
これってフリーソフトウェア(多分FSFの方)は、コントリビュートしないけれど意見だけ言いたい人はキリスト教で言う免罪符を買えって主張してるんじゃないの?
「お金を払いましょうよ、そしてセキュリティに関する要望を開発者に聞いてもらいましょう!」って言ってるのが、フリーソフトウェアを使う企業側でもあるMozilla(実際報奨金対象となっているものにブラウザに関わるJPEGのライブラリがある)であって、開発者側はお金を要求していないように見える。
Mozillaは加えて人材も送ることで、フリーソフトウェア側に自分の要望(今回はセキュリティに関する改善)を通しやすくする狙いじゃないのかな。
JPEGのライブラリとか、もろに自分のところの製品の品質に関わってくるところだし。
有料ソフトウェアにしても、開発者に意見を聞いてもらうためには結局札束を積まなくちゃいけないのは変わらないのでは?
Re:根本は (スコア:4, 興味深い)
自分でコードを書くのも、金でエンジニア雇ってコード書いてもらうのも、ファンドにお金を払って支援するのも全部同じことですよ。
そこでエンジニアの雇用が生まれるというのもストールマンとかが提唱するビジネスモデルの一つなわけですから。
なんだかトピの他のコメとかを見てると嫌儲みたいな勘違いをしてる人がいそうな感じですね。フリーソフトウェアのフリーというのは「自由(フリー)な言論」のフリーであって「無料(フリー)のビール」のフリーではありません。
まぁ、ともあれお金をファンドに送って要望を伝えるというのは結構一般的な方法ですよね。
ローレンス・レッシグ OSCON2002 [youtube.com]
Re:根本は (スコア:1)
これってフリーソフトウェア(多分FSFの方)は、コントリビュートしないけれど意見だけ言いたい人はキリスト教で言う免罪符を買えって主張してるんじゃないの?
今も昔もコードを書く気はないが要望を聞いてほしい場合金を払うってのはそれなりに一般的な手ですよ。免罪符を買えっていうよりは用心棒代を請求しているといったほうがいいかもな。免罪符は気休めにしかならんがこの財団は受け取った金を使ってセキュリティ面の強化をするからな。
知名度が低いソフトだと寄付が集まらない傾向はあるからこういう知名度の高い組織が看板になって寄付を募るのは良い手ですよ。
寄付金の配分について確認してから寄付したほうがいいでしょうし具体的に寄付したい相手がいるなら直接寄付したほうがいいけど。看板を貸すだけではなく金も出しているところに好感が持てますね。
Re: (スコア:0)
> その企業や政府が金を出しくれていれば問題なかったのにね。フリーソフトウェアはこれが現実だよ
> オープンソースはフリーソフトと決別すべき時なのかも
企業は、フリーソフトウェアには金を出さないが、オープンソースには金を出すということでしょうか?
「オープンソース」は、対企業マーケティングのために、左翼っぽいイメージを持つフリーという言葉を
使わないで、同じ物を言い換えただけの言葉です。同じものを、名前だけを変えて売ることができたのなら、
マーケティングとして大成功ですね。
Re: (スコア:0)
オープンソースとストールマンの言うフリーソフトの間には断絶があるが。
オープンソースなら実態はともあれソースコードの使用や改変を制限できるからな。
Re:根本は (スコア:1)
Open Source Initiativeによるオープンソースの定義によれば、「ソースコードの使用や改変を制限」するような配布形態は、オープンソースとして認められません。
以下該当箇所:
#3028745 [srad.jp]が指摘しているように、これらの要件は、GNUプロジェクトによるフリーソフトウェアの定義と実質的に同等のものです。
Re: (スコア:0)
Open Source Initiativeによるオープンソースの定義によれば、「ソースコードの使用や改変を制限」するような配布形態は、オープンソースとして認められません。
その定義はOpen Source Initiativeによるオープンソースの定義に過ぎないんだよね。オープンソースは多種多様な組織と人物に好き勝手に使われているからオープンソースソフトウェアという単語にはソースコードが公開されたソフトウェアという程度の意味しかない。
左翼っぽいイメージを持つフリーという言葉を使わないで、同じ物を言い換えただけの言葉として発明されたオープンソースという単語はいまでは発案者の意図を超えて使われてしまっている。
Re:根本は (スコア:1)
SOS FundはMozilla Open Source Support (MOSS)の一環ですが、そのMOSSはOSIの定義を “Open Source” として明示的に参照しています。したがって、本ストーリーに関する限り、基本的にはOSIの用語法にもとづいて「オープンソース」の語を使うのが妥当かと思います。
Re: (スコア:0)
>その定義はOpen Source Initiativeによるオープンソースの定義に過ぎないんだよね
オープンソースという用語を考案し広めたEric Raymondが設立した団体です。
Eric RaymondおよびOSIがオープンソースに関する思想を打ち立てて広め成功させたた功績は大きいですし、
オープンソースに携わる人ならOSIが提唱する定義に反対する人はまずいないと思いますが。
>左翼っぽいイメージを持つフリーという言葉を使わないで、同じ物を言い換えただけの言葉として発明されたオープンソースという単語はいまでは発案者の意図を超えて使われてしまっている。
そんな使われ方は知らないし、あったとしても誤用です。
言葉の定義は、あるていどはきちっと決まっていないと、意思疎通に支障をきたします。
Re: (スコア:0)
脳内定義で使った挙げ句逆ギレした会社 [linux.srad.jp]とかもありましたね。
Re: (スコア:0)
フリーソフトを言い出したストールマンはOpen Source Initiativeがオープンソースと定義しているmitライセンスを非自由ソフトウェアとして批判している。オープンソースという単語は同じ物を言い換えただけの言葉ではなく自由ソフトウェアの(少なくとも考案者にとって)必要な要素を抜き取ったものです。そしこの抜き取られた要素が営利企業にとって邪魔なものでもある。企業以外にとってもコピーレフトの強制は面倒なんだが。
Re:根本は (スコア:1)
GNUは(≒RMSは)MITライセンス(X 11ライセンス)をフリーソフトウェアライセンスのひとつに数えていますし、「小さなプログラムのための優れたライセンス」とまで言っています。したがって「mitライセンスを非自由ソフトウェアとして批判している」は誤りです。
フリーソフトウェアの定義は、MITライセンスのようにコピーレフトでないpermissiveなライセンスを排除しません。
RMSが批判しているのはオープンソース「運動」であって、オープンソース・ソフトウェアあるいはライセンスではありません。オープンソースの定義そのものはフリーソフトウェアの定義と実質的にほとんど同等です(看板を付け替えたものなのだから当たり前ですが)。
Re: (スコア:0)
http://internet.watch.impress.co.jp/www/article/2003/0425/stallman.htm [impress.co.jp]
ストールマン氏の理想である自由を守るための方法の1つが、Copyleftという考え方だ。これは、「GNU GPL」という形でライセンス供与されている。Copyleftは、著作権(Copyright)を元にした考え方だ。GNU GPLでは、ある条件に基づいてソフトウェアを自由に改変し、配布し、コピーする権利を認めている。その条件とは、改変したソフトウェアを公開する場合、そのソフトウェアも“自由”が保障されていなくてはならないというものだ。
この考え方は、MITの「Xwindow」の失敗を
Re:根本は (スコア:1)
もちろんRMSはソフトウェアを使う自由のためにコピーレフトが重要だと主張しています。
しかし、GNUプロジェクトはコピーレフトでないライセンスをフリーソフトウェアと認めていますし(*1)、GNUプロジェクトは実際にコピーレフトでないライセンスをフリーソフトウェアライセンスとしてリストアップしています(*2)。したがって「mitライセンスを非自由ソフトウェアとして批判している」は誤りです。
*1について。What is free software? [gnu.org]よりGNUによるフリーソフトウェアライセンスの定義の一部を引用します。
*2については、Various Licenses and Comments about Them [gnu.org]の中で、“permisive”とされているものを見てください。
Re:根本は (スコア:1)
念のため、いくつかの対立軸について雑駁に整理します。
フリーソフトウェア 対 オープンソース・ソフトウェア:
定義の文面は違えど実質的には同じものであり、「使用、配布、改変、改変物の配布が自由にできること」がその主な内容です。
フリーソフトウェア運動 対 オープンソース運動:
フリーソフトウェア運動はソフトウェアにおける自由を推し進める運動であり、主要なアクターはFSF、その設立者であるRMSです。これに対してオープンソース運動は、自由なソフトウェアの技術的な優位性に力点を置いた運動であり、主要なアクターはOSIです。
オープンソース運動はフリーソフトウェア運動の分派とみなすことができます。RMSはオープンソース運動を、自由を軽視するものであるとして批判しています。
コピーレフト 対 permissive:
改変物がフリーソフトウェアあるいはオープンソースであることを要求する配布形態がコピーレフトであり、改変物が非自由であることを許容する配布形態がpermissiveです。フリーソフトウェア=オープンソースのライセンスのうち、コピーレフトな物にはGPL, LGPL, AGPLなどがあり、permissiveな物にはBSDライセンス、MITライセンス、Apacheライセンスなどがあります。
RMSは自由を推し進めるための武器として、コピーレフトの重要性を主張しています。このため、FSFが推進するGNUプロジェクトでは、主としてコピーレフトライセンスであるGPLが採用されています。
Re: (スコア:0)
理念は違います。たとえば、ストールマンは、「オープンソース」という呼び方は「フリー」という語を含まないのを批判していますが、
それは、彼が自由が最も大切だと考えるからです。また、ストールマンはプロプライエタリなソフトウェアに対して敵対的ですが、
オープンソースは、現実のソフトウェア産業(主にプロプライエタリなソフトウェアで商売してる)と仲良くやっていこうという理念ですね。
が、ソースコードの利用や改変を制限できるかどうかという観点(ライセンス的な観点)では、両者はほぼ同じものです。
ところで、ソースコードの使用や改変を制限できるのは個別のライセンスです。
一方、オープンソースやフリーソフトウェアの定義は、ライセンスが満たすべき要件を定義していますが、
個別のライセンスを指定しているわけではありません。
たとえば、GPLとか修正BSDライセンスとかApacheライセンスとかのライセンスを持つソフトウェアは、
オープンソースでもあり、かつ、フリーソフトウェアでもあります。
Re: (スコア:0)
>オープンソースは、現実のソフトウェア産業(主にプロプライエタリなソフトウェアで商売してる)と仲良くやっていこうという理念ですね
じゃあなんでOSS信者はいつもプロプラ叩きばかりやってるの?
Re: (スコア:0)
叩いたことなんてないよ
プロプライエタリなソフトウェアが
オープンソースに追いつけない嫉妬心がそう錯覚させているんでしょう
Re: (スコア:0)
叩いたことなんてないよ
プロプライエタリなソフトウェアが
オープンソースに追いつけない嫉妬心がそう錯覚させているんでしょう
並行世界の住人なのかおかしなハーブでもやってるのか…
Re: (スコア:0)
プロプラ叩きやってるのは、クレクレ君かフリーソフトウェア信者でしょう。
OSS信者というのはあなたの思い込みに過ぎないのでは。
Re: (スコア:0)
プロプラ信者同士でも、互いに叩き合ってますよね。
それと同じ事です。他を叩きたい奴はどこにでもいます。
別にOSS関係者は聖人君子の集まりではないですので、
他の集団と同じくらいの割合で、他を叩きたい奴が含まれていても不思議ではありません。
ところで、プロプラ叩き「ばかり」をやっているというのは事実に反します。
プロプラ叩き「ばかり」をやっていることを前提とするような#3028800の発言は、
OSS関係者を不当におとしめるものであり、OSS叩きだと言えます。
Re: (スコア:0)
だってフリーが無料の意味でしか見てくれないし。。
日本語には「自由」と「無料」という単語あるのだから「自由」を使ってほしい的なこと言ってた人居たなぁ。
誰だっけ?
Re: (スコア:0)
RMS。
jiyuu softwareとか言ってたような、と ぐぐる [google.co.jp]と「自由 ソフトウェア」と翻訳したうえで検索するようなので
bingる [bing.com]と見つかった
http://srad.jp/story/03/05/27/1521225/ [srad.jp]
ViX (スコア:0)
ユーザーインターフェイスは気に入ってたんだけどなぁ
Re: (スコア:0)
いつからViXがオープンソースになったの? 公式サイトも消えて作者は行方不明だと思ってたんだが。かつての日記ではOSS化にも否定的なことを書いていたような。
Re: (スコア:0)
オープンソースでもなけりゃどういったプロジェクトが対象とされているのかもわかっていない
Re: (スコア:0)
「オープンソースプロジェクト」と力いっぱい書かれているように見えるのですが文字は読めますか?
Re: (スコア:0)
あなたがレスした元コメの
「オープンソースでもなけりゃどういったプロジェクトが対象とされているのかもわかっていない」
というのは
ViXの「ユーザーインターフェイスは気に入ってたんだけどなぁ」にかかっています。
レスした場所が紛らわしいけど。
おそらく「いつからViXがオープンソースになったの?」の同意や補足みたいなつもりなんだろう。
でもあなたのレスは同意や補足には見えないので元レスの意味を取り違えてるようにしか見えない。
レスした場所を間違えた可能性はあるが……
十分な金があれば、全てのバグは深刻ではない (スコア:0)
すでに [opensource.srad.jp]ストーリーになっていたのね。
資金ねえ (スコア:0)
資金が無くても機能追加/強化は行われるけどセキュリティは向上しない不思議
Re:資金ねえ (スコア:3, 興味深い)
だってそういうのって楽しくねえじゃん。すでにあるコードをセキュアに改良するには広範な変更が必要でプロジェクトの決定権を握ってる連中の説得に苦労するし。それでも危険極まりない脆弱性が見つかればなんとかして直す場合が多い。
なんとかできないプロジェクトはその場で解散するか脆弱性を無視するかだな。
Re:資金ねえ (スコア:1, 興味深い)
なので機能は実装されていく。
楽しくないことは人が集まりにくい。
セキュリティ用のコード実装しても見た目に現れない事がほとんどだし。
だからお金というインセンティブでモチベーションを維持しようとする。
だけどそのうち
払った側からすれば、投資分だけ利益を独占したい。←プロプラ的
ってなってしまわないか心配。
街のゴミ拾いボランティアのようなセキュリティ対策のコードを提供してくれる人を募った方がいいんだろうけどね。
表彰なり開発者リストの先頭にあげてあげるなりお金以外のインセンティブで。
報酬があるならボランティアと言えないかもしれないけど、やる人いない現実あるんだし。
Re: (スコア:0)
>払った側からすれば、投資分だけ利益を独占したい。
「あなた方が発見/報告した脆弱性を最優先で修正します」
でいいのかな?
年中無休24時間体制で受け付けますとか。
Re:資金ねえ (スコア:1)
誰だって、食事の後の片付けはしたくないものさ