OpenSSL脆弱性の再発防止へ、業界大手が重要オープンソースプロジェクトを支援

GoogleやMicrosoft、富士通などの大手が参加して、インターネットのインフラを担うオープンソースプロジェクトを資金面でバックアップする。

» 2014年04月25日 07時00分 公開
[鈴木聖子,ITmedia]

 オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に致命的な脆弱性が見つかったことを受け、GoogleやMicrosoft、IBMなどの業界大手が参加して、インターネットのインフラを担うオープンソースプロジェクトを資金面でバックアップする「Core Infrastructure Initiative」を発足させた。Linux Foundationが4月24日に発表した。

 Core Infrastructure InitiativeにはAmazon Web Services(AWS)、Cisco、Dell、Facebook、富士通、Google、IBM、Intel、Microsoft、NetApp、Rackspace、VMwareなどの各社が参加。Linux Foundationの運営の下、支援が必要なオープンソースプロジェクトを見極めて、人材獲得やセキュリティ強化といった必要経費のための資金を提供する。

 まず最初の候補となるのはOpenSSLで、人材など必要なリソースのための資金を拠出して、セキュリティ強化や外部からの検査、パッチ対応などを支援する方針。

 OpenSSLは多くのWebサーバやOS、ソフトウェア、ネットワーク機器などに利用され、インターネットインフラの根幹を支える存在だ。ところがOpenSSL Software Foundation幹部によれば、寄付などを通じて得る収入は年間2000ドル程度にすぎず、フルタイムでOpenSSLの開発にかかわる担当者は1人だけだという。

 「共有ソースコードの重要性はかつてなく増し、開発やメンテナンスの複雑性も増しているにもかかわらず、その重要性に見合ったサポートを受けていないプロジェクトが存在する」(Linux Foundation)。そうした実態を打開するために業界大手が協力して、OpenSSLで起きた「Heartbleed」のような事態の再発を防ぐことを目指す。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ