NetBSD、OpenBSD由来のファイアーウォール廃止 メンテナンスが負担に
2019年4月4日 09:28
あるAnonymous Coward曰く、 NetBSDのメーリングリストで、OpenBSDで開発されたパケットフィルタである「PF」のサポートをNetBSDから削除することが宣言された(NetBSDのtech-kernメーリングリストへの投稿)。
この投稿によると、「PFを取り除くことについて内部で議論がなされた」という。「現在、NetBSDのPFは11歳で、メンテナンスを受けておらず、NetBSDではなく上流で修正されたバグや脆弱性が累積した状態にある」「最新の例として、直近で発見されたPFの脆弱性は2つあり、これらの脆弱性には興味がないため、NetBSDのPFでは修正されていません」とのことで、PFのレガシーな設計のせいでスケーラブル/高性能なカーネルでの移植に多大な作業が必要な状況になっているという。
OpenBSDのセキュリティの高さは、オペレーティングシステム界で屈指であり、関連するソフトウェアとしてはOpenSSHや「ハートブリード脆弱性」を解消したOpenSSL代替の暗号化ソフトLibreSSL等、Unix系オペレーティングシステムほかLinuxやWindows等、OpenBSDが開発したソフトウェアの多くが用いられている。
ファイアーウォールであるPFもその一つではあるが、PFを廃止する理由が、NetBSD側の「OpenBSDでなされたPFに関するバグフィックス」の不適用というメンテナンス体制の問題によるものであるところが、最大の問題点と言える。
通常、メンテナンス上「ソフトウェアのバグや脆弱性」というものは、上流である「開発元がメンテナンスを放置または放棄する」ことで「セキュリティリスク」が累積し、下流にあたる「利用者が離れていく」というのが一般的な流れである。
しかしながら、「開発元のメンテナンス不足」では無く「利用者のバグフィックスの不適用」が理由で「有益なソフトウェアの廃止」がなされることは、実に稀であり、まして、「ネットワークセキュリティ」という、OSにとっては最も重要となる部位で自らの「メンテナンス体制」の問題を事由に廃止されることは、稀有と言える。
この点、「pf消すとか頭おかしい。むしろほかのやつ消してちゃんとメンテすべき」との意見が出るなど、通信技術やOS・セキュリティ関連の専門家の間でも波紋が広がっている。
既に*BSD界隈の衰退については、かねてより指摘されているが、今回のNetBSDの対応はそれを差し置いても、異常と言える事態を指し示している。
なお、NetBSDではNPFというパケットフィルタがデフォルトで提供されており、一部機能は不足しているもののPFの代わりにこちらを代替として利用できるともしている。