OpenSSLの心臓出血

今月初めに明らかになり、先週一般マスコミでも報道されるようになった、OpenSSLのひどい不具合、Heartbleedで考えさせれました。大雑把に言えば、この不具合をつつけば、本来はアクセスできないメモリにアクセスできるということ。既に被害も出ていますし、容疑者も逮捕されています。

びっくりしたのは、2年間も不具合が含まれていたこと。以前はオープンソースと言うだけで信頼性が高いなんて言う人がいましたが、さすがに今はいないでしょう。それはともかく、意外にも、少なくともOpenSSLでは第三者や管理者のレビューが機能していなかったことになります。
すると、オープンソースの方が故意に悪質なコードを入れることができることがあるかも。

残念ながら、今後もこのようにオープンソース ソフトウェアの問題は出るでしょう。問題が出るのはプロプライエタリ ソフトウェアも同じですが、普通はその提供者の製品のみに影響し、製品の特定は容易です。一方、オープンソース ソフトウェアは幅広く使われるため、影響が大きく、特定も困難。
一般に無保証と言え、オープンソース ソフトウェアを提供する側の信頼性評価がさらに求められるだけでなく、利用する側の評価と、問題が発覚した場合の迅速な対応が求められます。
特にスマホ含めた家電系のハードウェアでは、ソフトウェアの更新は非常に遅いか、ひどい場合は更新されないこともあります。ユーザーはそのようなことも含めてメーカーを選択しなくてはならない。既に数年前からこうだったのでしょうが、ネットワークに繋がる家電を幅広く使う便利の代償として、厳しい時代になったものです。