オープンソースのセキュリティ報告を中央集約化する oCERT

オープンソースのように、広範囲に及び分散化したコミュニティでは、ソフトウェアの脆弱性に関する情報のとりまとめを、どのように行なえば良いのだろうか。

長年の間、そうした取り組みはおよそ断片的なものだった。深刻なセキュリティ上の脆弱性を開示する場としては、バグ追跡システム、セキュリティに関するメーリングリスト、米国政府のコンピュータ緊急対策チーム (US-CERT) などがある。

だが今やオープンソースの世界には、Novell や Google といった業界大手が後ろ盾となっている新たな選択肢がある。それが、オープンソース CERT (oCERT) だ。

この oCERT は、「CERT」という名前の使用許可を得ていることと、頻繁に情報を伝達することを除けば、US-CERT や世界各国の CERT 組織とは無関係だが、オープンソースのセキュリティ報告集約に取り組むという目的は同じだ。

IT セキュリティに関するあらゆる問題への認識が、一層の高まりを見せるなか、セキュリティ報告の集約は、オープンソース コミュニティの最重要課題だ。oCERT の創設者でプロジェクト調整役の Andrea Barisani 氏によれば、オープンソースは「本質的に分散する性質」を持つことから、中央集約的な oCERT の存在は、そうした問題の解決策になる可能性があるという。

Barisani 氏は取材に対し、次のように述べた。「oCERT のような取り組みは、オープンソース コミュニティの役に立つものだと思う。確かな連絡窓口とチームの力により、セキュリティ問題の開示や調査を求めるすべての人々に支援を提供できる」

oCERT はすでに、多くの有力ベンダーやプロジェクトから支持を得ており、Novell、Google、Gentoo Linux、Mandriva、『SNORT』プロジェクト、Wind River が正式メンバーとして登録済みだ。