「プロジェクトの背景には、もともとはスタンフォード大学で開発され、その後Coverityによって商品化されたあるツールを利用している数々のオープンソースパッケージをまず調査しようという考えがあった、と語るのはDHSのプログラムマネージャDouglas Maughan博士だ。
「調査が終わり、今度はその結果をスタンフォード大学にフィードバックして、ソフトウェアの脆弱性を発見する彼らの手法の改善に向けたさらなる研究につなげてもらおうと考えている。また、助成期間の3年目に研究を終わらせる考えから、今年中に次世代のプロダクトに取りかかりたいとの思いもある」(Maughan博士)。
Maugham博士によると、このプロジェクトの成果はすでに政府が利用を始めているという。「結果の一部は、DHSの姉妹組織であるサイバーセキュリティ部門(National Cyber Security Division:NCSD)に持ち込まれており、この組織ではより大きな図式からソフトウェアの確実性を調査している。NCSDは2つのワークショップを設けており、Coverityの関係者もこうしたワークショップに参加していることがわかっている。つまり、プロジェクトの成果を利用して、DHSが関与する実世界の問題へとフィードバックを行おうとする試みが存在するのだ」
さらなる取り組み
CoverityのCTO(最高技術責任者)であるBen Chelf氏によると、現在このプロジェクトではApache、Mozilla、MySQL、Sendmail、それにLinuxカーネル自体も含む51種類のオープンソースのソフトウェアパッケージ群に対してセキュリティ検査が実施されているという。
「この先2年間で、我々は着実に新規プロジェクトを追加していく予定だ。このセキュリティ検査の機能をできるだけ多くのオープンソース開発チームの環境に設置したいと考えている」(Chelf氏)。
またChelf氏は、Coverityではソフトウェア開発および品質保証のプロセスをこの機能によって支援できる新たな方法を見出すために、さまざまオープンソースプロジェクトのチームとの緊密な連携を計画している、とも話している。スタンフォード大学(Stanford University)の研究者らと連携しながら、Coverityは「非常に有害で危険な各種の欠陥およびセキュリティ脆弱性のさらなる特定」に役立てることを目的とした「新たな最先端チェッカー」の開発に積極的に取り組んでいる。
「成果が見えてくるのはおそらく来年の第1四半期になってからだと思う。ただし、研究にどれだけの時間がかかり、結果がいつ出るかは予め決められるものではないことに留意してほしい。だが目標は、この研究の成果を3年目にCoverityにフィードバックすることだ」とMaughan博士は説明する。
Chelf氏は、彼らが用意した自動化のプロセスはオープンソースソフトウェアをより優れたものにし、そのセキュリティを向上させる場合にのみ役立つ、と述べている。
「昔ながらのコードレビューによるバグの発見は、とても大変で人手のかかる作業であり、オープンソースの開発チームには常にリソースが足りているわけではないため、彼らはすぐに使えて迅速なコードの改善に役立つ成果を手にして喜んでいる」(Chelf氏)。
またChelf氏はこれをWin-Win-Winの状況だと説明する。「オープンソースの開発チームはコード内にあるバグの発見と修正が楽になり、我々は自社のテクノロジをさらに洗練化するためのリソースが得られ、そしてユーザはより高品質なソフトウェアがてに入るわけだ」
すでに証明された結果
Maughan博士は、最初の1年のプロジェクトの進展ぶりに満足している、と語る。
「我々はプロジェクトが達成した結果を非常に喜んでいるし、何が機能して何が機能しないかについても色々と学んだ」(Maughan博士)。
DHSのプロジェクトのインフラストラクチャは3月に整ったが、そのときには最初の検査結果が返ってきていた。数週間のうちに、Coverityはその結果を公表することができた。また、フリーソフトウェアの開発者はDHSが費用を負担する検査に基づいて6ヶ月ごとにソフトウェアのバグの発見と修正を行っている。こうして見つかって修正されたバグの1つが、X Window Systemにおけるこの10年間で最大のバグだった。
「X Window Systemにそんなバグが何年も眠っていたとは、誰も気付かなかった。これは、DHSの活動により、こうした重要なパッケージのいくつかを解析する途中で見つかったバグの1つだ」とMaughan博士は話している。
DHSによるプロジェクトの成果として、4,000を超えるバグがオープンソースソフトウェアからすでに発見され修正されている。たとえば、クラッシュにつながる重大なMozillaコードベース内のバグ ― Bugzillaにおいて重大性の非常に高い「極めて重大(blocker)」および「重大(critical)」レベルにあたる ― が、Firefox 2.0のリリースを待つこの夏の何ヶ月かの間に発見された。
米国政府によるFOSSの利用
以前DARPA(防衛高等研究計画局)のオープンソースプログラムに関わっていたMaughan博士は、このプロジェクトが発足したのは、米国政府機関内にLinuxやオープンソースのアプリケーション、その他のオープンソースソフトウェアに対する信用があるからだと述べている。なかでも国防総省(DOD)は、すでに多数のオープンソースソフトウェアを利用している。
「我々が実施した調査と報告の内容はドキュメント化されている」とMaughan博士は述べ、MITREで行われた調査に言及する。この調査はDODのインフラストラクチャ内だけでも200を超えるオープンソースのソフトウェアパッケージが導入されていることを示したものだ。そうした調査は行われていないが、DHSでも同様の結果が出るだろう、とMaughan博士は予想している。事実、2001年の設立以来、DHSでは同組織のWebサーバなどさまざまなソフトウェアでオープンソースへの移行が行われている。
「調査を依頼した際の我々の心境は‘政府機関はオープンソースを重用し、依存度が高いのだから、我々はオープンソースをより優れたものにする試みに取り組みたい’というものだった。これこそが我々の活用しようとしているモデルだ」とMaughan博士は語る。
DHSは何らかのソフトウェアを推奨する活動を行うものではない、とDHSの広報担当者がすぐに明言する一方で、重要なのは政府機関による利用であって推奨ではない、とMaughan博士は述べている。「政府機関はこうしたオープンソースのパッケージを数多く利用している。政府機関による利用が推奨になるのかどうかは法律家の判断に任せるが、ここで本当に大事なのは‘我々はオープンソースを利用しているが、その多くは長い間活用されてきた重大性の高いパッケージであり、我々はそうしたパッケージをより優れたものにする手助けを行う必要がある’ということだ」
Chelf氏によると、政府機関によるこうした重用と、このプロジェクトがDHSによって設立されたという事実は、FOSSのすばらしさを物語る2つの大きな証拠だという。
「今や非常に多くのクリティカルなインフラストラクチャに導入され、政府機関が強い関心を持って注目しているということは、オープンソースがここ何年かで驚異的な普及と発展を遂げたことを示すさらなる証拠である」(Chelf氏)。