2014年の教訓：サードパーティのライブラリには脆弱性がある

headless 曰く、　Slashdot記事「2014: The Year We Learned How Vulnerable Third-Party Code Libraries Are」より。

　2014年、HeartbleedやShellshock、Poodleといった広く使われているライブラリに存在した重大なバグが注目を集め、ソフトウェア業界を揺るがした。残念なことに専門家たちは、これらのバグが大きな注目を集めただけで、広く使われているオープンソースに潜むバグは他にもあると考え始めている。このことは、「十分な数の目玉があれば、すべてのバグは深刻ではない」というオープンソースの基礎的な概念が単なる神話であることが露呈し始めているようにも見える。

　本家/.では「十分な数の目玉が存在するのかどうか」について議論が盛り上がっており、バグが発見できなければ目玉の数が十分でなかったと言えばいいので、この「法則」は常に成立するとのコメントもみられる。なお、このフレーズを生み出したEric S. Raymond氏は、Heartbleedに関するインタビューで「目玉が一切なかったのだ」と述べているそうだ。

　スラッシュドットのコメントを読む | Linuxセクション | Linux | オープンソース | バグ | IT

　関連ストーリー：
Gitに深刻な脆弱性、緊急メンテナンスリリースが公開される 2014年12月20日
SSL 3.0の脆弱性「POODLE」はTLSにも影響する 2014年12月12日
GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に 2014年09月25日
「オープンソースの方が安全」という神話はOpenSSLの致命的な脆弱性問題で変わるのか 2014年04月17日