OSSの脆弱性報奨金制度
今月の気になるオープンソース情報(2013年10月号)
フロンティア開発部 米山陽介
10月9日、Googleは脆弱性情報に対して報奨金を支払う制度を拡大して、Google社の製品だけでなく、主要なオープンソースソフトウェアのセキュリティ対策強化に貢献した人に対し、報奨金の対象にすると発表したようです。
ただしオープンソースプロジェクトの場合、報奨金を目当てに脆弱性の報告が殺到すると、ボランティアのコミュニティでは対応できない可能性があります。そのため、「単なる既知のセキュリティ問題の修正を超えた、現実的かつ予防的な改善に対して報奨金を提供する」方針に決定したようです。
対象となるのは、Googleが「インターネット全体の健全性を保つ上で欠かせない主要サードパーティーソフトウェア」と位置付けたプロジェクトであり、具体的には、OpenSSHやBINDなどの主要インフラネットワークサービスや、 Google Chromeのオープンソース基盤であるChromium、OpenSSLなどのライブラリ、KVMなどLinuxカーネルのセキュリティ上重要なコンポーネントなどを対象とするようです。
近いうちにApache httpdやSendmail、OpenVPNなどにも対象を拡大する見込みなようです。
オープンソースソフトウェアにとっては、かなりの追い風であると思います。これからどんどん主要なソフトウェアが改善されそうですね。
弊社でも脆弱性を見つけたいところです。アップデートの情報が入り次第、内容を確認し、対応方法を考えたいと思います。