OSS製品のリスク
»
最近立て続けにOpenSSLの脆弱性が発覚して、インターシステムズも製品の機能の一部をそのライブラリに依存している現実があるため、対応を迫られる状況が発生しました。
実際にはOpenSSLに関わる機能をお使いのユーザー様は非常に少数であるという現実はさておき、製品ベンダーとして潜在的なリスクには適切に対応をする必要があります。
それはさておき、この一連の騒動は、OSS製品にまつわる潜在的リスクを改めて気づかされたという側面があるように思います。
OSS製品の初期段階から成熟期までは、一部の熱心な有志による献身的な努力により、製品の機能、品質の向上はある程度まではしっかり担保されます。
そしてそういうプロセスを経て、OSS製品は安定期を迎えます。
ここで通常そのOSS製品を支えていたメンバーは徐々に違う新たなよりエキサイティングなプロジェクトに移行していきます。
そして徐々にそのOSS製品にコミットする開発者は減少していくという流れになります。
しばらくは大した問題もなく、順調に稼働するため大きな問題にはなりません。
しかしやがて徐々に進む環境の変化への対応の劣化や潜在的なセキュリティ上の脆弱性に対する攻撃に晒される事態が発生しうるということです。
そして問題は、そういう状況が発生した際に対応できる技術者がいなくなっているという不都合な現実です。
OSS製品を使うリスクとしてユーザーが考えておかないといけない点です。
SpecialPR