自治体アプリをオープンソース化したらセキュリティ脆弱性が丸見えじゃないか? という反論についての応答:
第一に、オープンソースの方が多くの開発者や第三者がコードレビューや監査を行えるので、問題発見と解決が迅速に行われると言われています。セキュリティ的には「秘密を作ることでセキュリティを担保すべきではない」という原則もあります。一旦漏洩した場合はより影響が深刻になりやすく、フィッシングや内部犯行などの別の手段に弱くなり、「隠す」ことに依存することで抜本的な対策を怠るようになると言われています。
第二に、データドリブンな報告でいうと、クローズドかオープンかはあんまり安全性と関係がないという報告があります
・OSSの品質・セキュリティについてのリサーチでいうと、OSSの平均的な欠陥密度(1000行あたりのバグ件数)は0.59で同規模のクローズドソースの平均0.72を下回っているというレポートがあり、報告書は「ソースコードを非公開にすれば安全になるという根強い神話が明確に反証された」と述べられています。(Coverity Scan Report 2013)
・17の著名なソフトウェア(OSSおよび商用)を比較分析した2010年の研究では、ソフトウェアの種類や各開発コミュニティの方針の方が脆弱性の深刻度や修正状況に影響するという結果が得られました。統計的に見てOSSとクローズドソース間で脆弱性の深刻度やパッチ提供速度に有意な差はなく、少なくともOSSだからといって著しく不利(または有利)とは言えないと示されています
OSSもクローズドソースも開発・サポート体制が脆弱だと、普通に危険になるのでちゃんと体制構築しましょうということですね。善意の貢献を偽装して悪意あるコードを混入させる攻撃(Hypocrite Commits)も起きるのでそういう対策は必要になりそう