十分な額の資金があれば、すべてのバグは深刻ではない？

2014年、オープンソースコミュニティーは重大なセキュリティ問題に直面した。これについてLinux FoundationのJim Zemlin氏は、資金不足のプロジェクトに対する援助が必要との考えを示したとのこと(eSecurity Planetの記事、本家/.)。

Zemlin氏は「十分な数の目玉があれば、すべてのバグは深刻ではない」という、いわゆるLinusの法則を引用し、「これらのケースでは実際に目玉が見ていなかったのだ」と述べたという。現在のソフトウェアは非常に複雑であるため、現在のソフトウェアセキュリティーは非常に難しいと述べ、援助の必要なプロジェクトには資金を提供する必要があるとしている。現在、Linux FoundationのCore Infrastructure Initiative(CII)ではNTPやOpenSSL、GnuPGに対する資金援助を行っており、対象プロジェクトは今後も増えることが見込まれる。なお、CIIでは資金援助に加え、Core Infrastructure Censusによるバグ発見の手助けと、すべてのオープンソースプロジェクトに適用可能なセキュリティーのベストプラクティス構築を3つの重要なイニシアチブと位置付けているとのことだ。　スラッシュドットのコメントを読む | オープンソースセクション | オープンソース | セキュリティ | バグ | お金

　関連ストーリー：
elementary OS: 無料ダウンロードするユーザーに「$0」と入力させる理由 2015年02月15日
開発資金が枯渇寸前だったGnuPG、資金調達に成功 2015年02月09日
glibcのgethostbyname系関数に脆弱性、「GHOST」と呼ばれる 2015年01月28日
2014年の教訓：サードパーティのライブラリには脆弱性がある 2015年01月05日
Gitに深刻な脆弱性、緊急メンテナンスリリースが公開される 2014年12月20日
X11リリース当初から存在する脆弱性など、13件のCVEをX.Orgが公表 2014年12月13日
ISC BIND 9に脆弱性、外部からのDoSによって異常終了する可能性 2014年12月11日
wgetにシンボリックリンクの扱いに関する脆弱性 2014年10月31日
stringsコマンドに脆弱性 2014年10月31日
揺るがされるオープンソースセキュリティーの理想 2014年10月19日
Bugzillaに未解決の脆弱性が発見される 2014年10月09日
bashのShellshock脆弱性を利用するボットネットが出現 2014年09月27日
GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に 2014年09月25日
「オープンソースの方が安全」という神話はOpenSSLの致命的な脆弱性問題で変わるのか 2014年04月17日
OpenSSLの重大な脆弱性「Heartbleed問題」への対応に追われるネット業界 2014年04月14日
Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない 2014年04月13日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日