オープンソースの最新トピックと、ビジネス活用のポイント（OSPセミナーレポート前編）

オープンソースのコミュニティについて

使いたいOSSコミュニティの活動状況を知っておくことも重要だ。万が一コミュニティが活動を停止していた場合には、ソフト自体の乗り換えや、社内体制を整えることが必要になる。
ここで大事なのは、問題が起きた時に必要な、システム構築や安定稼働のためのドキュメントを予め調べておくことだ。コミュニティのサイトやメーリングリストもあるが、とりあえず場所を知っておくだけでもだいぶ安心できるだろう。

また、バージョンが違うと結構中身が違うため、その情報がいつ発信されたかということも押さえておきたい。
例えばohloh.net（現在はBlack Duck Open HUBに名称変更）では、OSSコミュニティの達成度や活動の勢い、コード数の増減や使用言語などを知ることができる。吉田氏はMongoDBを例にサイトを紹介した。

なぜOpenStackが注目されているのか。

OpenStackはクラウドを作るための基盤ソフトで、2010年にホスティング事業者である米Rackspace社と米航空宇宙局NASAがそれぞれ開発していたソフトを合わせて始めたプロジェクトである。APIが公開されているため独自機能が作りやすく、Amazonの互換機能があるなどの理由から、現在急速に成長している。もちろんオープンであり、それ故、各社の仮想化基盤にも対応することができる。今年に入ってからも多くのニュース・発表が行われており、非常にプレーヤーが多い印象がある。

（クリックで拡大）

これほど興味を持たれている要因の1つとして、開発のスピードが速いことが挙げられる。次に技術のリーディング機能が多く参入してきて、どんどんプラグインを開発していること。またコミュニティが優秀で、良いプロセスを提供していることだと吉田氏は説明した。

その開発スピードを示すかのように、OpenStackは半年に一度メジャーバージョンアップしている。それぞれリリースの頭文字はアルファベット順にちなんで付けられており、現在は"I"cehouceがリリース、9月には"J"unoがリリース予定となっている。
メインの機能を提供するコアプロジェクトが10個あり、それ以外にも開発中のプロジェクトが存在する。

OpenSSL問題はなぜ発生したのか

吉田氏はセッション最後に、OpenSSLの脆弱性をついたセキュリティ問題について紹介した。

OpenSSLは、SSL、TLSといった暗号化を行うためのソフトウェアで、個人情報など安全な取り扱いが必要な情報を入力する際などに使われている。2011年12月31日に、このOpenSSLでサーバー同士の死活監視を行うためのHeartBeat機能を拡張した際にバグが入ったと考えられており、これがHeartBleedと呼ばれている。その後2年もの間、誰も気づかなかったが、2014年4月にGoogle社員からの指摘で発覚。各所で修正を始めたものの、国内の三菱東京UFJ銀行やカナダの歳入庁でアタックされ、多くの情報を盗まれる事件が発生した。

（クリックで拡大）

このHeartBleedは、バグとしては単純なものだったが、長い期間チェックできていなかったのが問題である。そして2つ目の問題は、OpenSSLコミュニティはコアメンバーが4人しかいないことだった。コミュニティは年間2000ドルの寄付で運営しているため、これほどの規模で発生したセキュリティ問題に対応するには限界がある。Linux Foundationは事態の深刻さを踏まえ、大手IT企業とともにコミュニティ支援に乗り出した。同時に、OpenBSD、GoogleがFork（分岐）プロジェクトを開始。対策を行っている。

吉田氏の講演資料は以下でご覧になれます。