TOP > セキュリティ > オープンソースソフトウエアが意外と安全ではない理由(中)
オープンソースソフトウエアが意外と安全ではない理由(中)
2014/07/09
OpenSSLのコードのミスから生じた「Heartbleed(心臓出血)」脆弱性は、多くの人がかねてから抱いていた疑いの正当性をあらわにした。すなわち、オープンソースのコードは公開されていて検査が可能だが、だからといって実際に検査済みで安全だとは限らないということだ。
(前回から続く)
実のところYunus氏は、そもそもOpenSSLはC言語のような比較的低水準の言語で開発すべきだったのかどうかという点にも疑問を呈している。この考えは、セキュリティ専門家のBruce Schneier氏も同じだ。同氏は、セキュリティ面で注意を要するこうしたアプリケーションの開発でメモリー管理のない言語を使うことは、刑事過失にも匹敵するとの認識を示している。
一方、米Forrester Researchのセキュリティアナリスト、Jeffrey Hammond氏は、こうした見方に異を唱える。膨大なパケットを処理するOpenSSLにとっては、パフォーマンスは重要な特性だと同氏は指摘する。「メモリーにアクセスできると、ある種の攻撃を受ける可能性が生じるが、その一方でパフォーマンスが得られる。私は、OpenSSLはC言語で開発すべきでなかったとは言わない。だが、パフォーマンスの獲得には責任が伴うということは確かだ」