今日はSIJのすずきひろのぶさんの話を聞いている。

フリーソフトイニシチアチブジャパンは日本でGoogleSummerCodeに参加するなど積極的な団体。

オープンソースだからバグが少ないとか、そんなことはない。ソースコードが読めることとバグが発見されやすいことに関連性は薄い。バグを見つけるのは主にブラックボックステストをする。ブラックボックスなのでソースコードの公開とは関連がないという話。沢山の人が使っていて、脆弱性（バグ）を見つけて報告し、警告する仕組みがと取っているから。そしてバグを放置するとDebianの厳しい審査に通過できない。そして淘汰されていく。
　バグの合計検出数をY軸、時間をX軸に取ると、S字曲線を描く。バグの検出数は収束するがゼロにはならない。それらバグは主に設計段階：要求定義時点でのバグが出来てしまうことが多い。
　見つかったバグはどのように処理されるか、まず日本の場合はIPAで一括処理される。IPAではDNSが非セキュアである報告が大量に報告されるそうだ。日本ではIPAで処理されていく、そしてCVEで一括している。CVEで一意なIDが振られないと、正式な脆弱性として認知されない。

大規模なコミュニティーならバグは内部で処理出来る。小規模な開発グループは難しい。脆弱性に対応できないコミュニティーは生き残るべきじゃない、メンテナンス出来ないソフトウェアは淘汰されるだけだ。オープンソースに公開するから、そんな簡単なことではない。社内のソフトウェアをオープンソースに公開するぞといっても、非常に高い淘汰圧と戦う必要がある。