それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

オープンソースだからバグが少ないとか

今日はSIJのすずきひろのぶさんの話を聞いている。

フリーソフトイニシチアチブジャパンは日本でGoogleSummerCodeに参加するなど積極的な団体。


オープンソースだからバグが少ないとか、そんなことはない。ソースコードが読めることとバグが発見されやすいことに関連性は薄い。バグを見つけるのは主にブラックボックステストをする。ブラックボックスなのでソースコードの公開とは関連がないという話。沢山の人が使っていて、脆弱性(バグ)を見つけて報告し、警告する仕組みがと取っているから。そしてバグを放置するとDebianの厳しい審査に通過できない。そして淘汰されていく。
 バグの合計検出数をY軸、時間をX軸に取ると、S字曲線を描く。バグの検出数は収束するがゼロにはならない。それらバグは主に設計段階:要求定義時点でのバグが出来てしまうことが多い。
 見つかったバグはどのように処理されるか、まず日本の場合はIPAで一括処理される。IPAではDNSが非セキュアである報告が大量に報告されるそうだ。日本ではIPAで処理されていく、そしてCVEで一括している。CVEで一意なIDが振られないと、正式な脆弱性として認知されない。

大規模なコミュニティーならバグは内部で処理出来る。小規模な開発グループは難しい。脆弱性に対応できないコミュニティーは生き残るべきじゃない、メンテナンス出来ないソフトウェアは淘汰されるだけだ。オープンソースに公開するから、そんな簡単なことではない。社内のソフトウェアをオープンソースに公開するぞといっても、非常に高い淘汰圧と戦う必要がある。

広告を非表示にする