プロジェクトのリソース不足がオープンソースソフトウェアの脆弱性を生む？

OpenSSLのHeartbleed脆弱性でオープンソースソフトウェアの脆弱性問題が注目を集めたが、成果が広く使われているオープンソースプロジェクトであっても人的・資金的なリソースが大幅に不足していることが原因の1つだとする意見もある(SSH Communications Securityのブログ記事、本家/.)。

OpenSSLプロジェクトではフルタイムの開発者は1名しかおらず、多数のボランティア開発者がパートタイムで参加しているという。実質的にはフルタイム2名分程度の労働力でコードを書き、テストや5万行に及ぶコードのレビューなどを行っていることになる。The OpenSSL Software FoundationのSteve Marquess氏は「忙しいボランティアがこのバグを見落としたことよりも、同じようなことがもっと頻繁に起こらないことの方が不思議だ」と話しているとのこと。

OpenSSHプロジェクトなど複数のプロジェクトを抱えるOpenBSDプロジェクトは資金不足に悩まされている。プロジェクトを率いるTheo de Raadt氏は、企業が率先してプロジェクトへの寄付を行い、次に企業ユーザー、最後が個人ユーザーとなるべきだ考えているが、実際には寄付の大半が個人からのものだという。OpenBSDプロジェクトは今年1月にも深刻な資金不足に陥ったが、安定した資金源が確保できなければプロジェクトが完全に停止してしまう可能性もあるとのことだ。　スラッシュドットのコメントを読む | オープンソースセクション | オープンソース | セキュリティ

　関連ストーリー：
OpenBSDがOpenSSLをフォーク、新プロジェクトは「LibreSSL」 2014年04月25日
三菱UFJニコス、OpenSSLの脆弱性を狙った攻撃を受けて会員情報が不正に閲覧される 2014年04月20日
GNOME Foundation、資金切れに 2014年04月18日
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる 2014年04月17日
「オープンソースの方が安全」という神話はOpenSSLの致命的な脆弱性問題で変わるのか 2014年04月17日
Appleはオープンソースコミュニティを支援していない？ 2014年04月16日
Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない 2014年04月13日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日
資金不足のOpenBSDプロジェクト、ルーマニアのBitcoin長者がスポンサーに 2014年01月21日
OpenBSDプロジェクト、電気代の支援者を募集中 2014年01月18日