オープンソースの方が安全

「『オープンソースの方が安全』：トレンドマイクロ、ソフトウェアセキュリティを評価」という記事を読みました。

起業する前も含めて10年以上Linuxに関わってきているので、私にとって新しい指摘はあまりなかったのですが、必ずしもオープンソース信奉者ではない(であろう)トレンドマイクロのCTOのGenes氏が発言したということは、ちょっと新しいことかもしれません。

この記事によると、Microsoftなどのプロプライエタリィなソフトよりもオープンソースの方が本質的（inherently)に安全だという理由は、

• ディストリビューションが多く、どれかにセキュリティ上の弱点があっても他にもあてはまるとは限らない
• コードベースで対応できる技術者が多いから、何かあればすぐにパッチが用意される

あたりだそうです。

ただ、同時にインタビューに応じたRedHatのMark Cox氏の「オープンかどうかは実は大きな違いを生まない。セキュリティを考慮して設計されているかどうかだ」という指摘の方が、実は重要な気がします。LinuxカーネルやApacheその他の主要なソフトウェアは、ときどきセキュリティホールが見つかっていますが、非常に深刻なセキュリティホールはそれほど多くはありません。

ところで、この記事に書いていないことですが、「ソースを見て弱点を探し出し、それを悪用することも可能では」と心配する人もいます。かりにこういうことがあったとしても、開発者は自分が書いたコードを熟知しているので、活発に開発・改良が行われているソフトでは、ただちに対応パッチが作られます。

以前は、あるバージョンのメンテナンス期間は2〜3年程度でしたが、最近のディストリビュータの「エンタープライズ版」は5年とかそれ以上のメンテナンスをコミットしています。これも心強いことです。ソースがあるわけですから、それ以上の期間メンテナンスすることも、原理的には可能です(実際は新しいデバイスも出てくるから、そんなに簡単なことではないでしょうが）。

適切にシステムをメンテナンスしてあれば、Linuxはセキュリティ面でもかなり安心して使えるOSです。実際、私の会社では数十台のインターネットサーバをリモート監視していますが、約10年間で不正侵入されて深刻な状況に陥ったことはありません。

ちなみにこの記事の原文は http://news.zdnet.com/2100-1009_22-6083490.html?tag=zdnn.alert です。