OpenSSL プロジェクトは Heartbleed 脆弱性により、批判にさらされている。OpenSSL Foundation は開発推進のための資金提供を呼び掛けているが、OpenSSL を進化させる新たなオプションが登場した。

OpenBSD コミュニティが OpenSSL コードをフォークし「LibreSSL」と呼ばれる新たな暗号化ライブラリの開発をスタートさせたのだ。

Heartbleed での情報公開プロセスには問題があった ― OpenBSD が OpenSSL のフォーク「LibreSSL」プロジェクトをスタート
Heartbleed に関するニュースが伝えられたとき、わたしは、OpenBSD 創設者である Theo de Raadt 氏にコンタクトした。De Raadt 氏は率直な物言いで、常に興味深いコメントを提供してくれる人物だ。

私は Heartbleed 脆弱性の情報公開プロセスに興味を抱いていた。Google や CloudFlare などの限られたサービスは、Heartbleed 脆弱性について事前に通知を受けていたという。だが多くのサービスは脆弱性についての事前通知を受けることはなかった。彼らが Hearbleed 脆弱性について知らされたのは、一般の人々や、アタッカーたちと同じタイミングだったのだ。この情報公開プロセスは、数百万のエンドユーザーを危険に曝すことになった。

Heartbleed による被害総額は、5億ドル(約513億円)にのぼるとの推計もある。

OpenBSD にも OpenSSL が採用されている。De Raadt 氏は事前通知を受けたのだろうか? 同氏は次のように述べた。

「我々には、事前通知は届かなかった。私がパブから戻ったとき、4人の開発者がすでにこの問題の対策にあたっているのを知った。私は彼らの作ったパッチが ABI に影響を与えないことを確認し、パッチに署名をして公開した」

OpenBSD は、OpenSSL がプロセスを正すのを待つのではなく、自分達の手で新たな暗号化ライブラリを構築していくことを決めた。

LibreSSL はスタートしたばかり。当面の目標は OpenBSD 5.6 に LibreSSL を組み込むことだが、いずれは他の OS にも採用されていくだろう。

私は LibreSSL が、Red Hat や Debian ベースの Linux ディストリビューションにも採用されるのではないかと見ている。

OpenBSD のサイトでは、同 OS 向けの LibreSSL コードが公開されている。これを見れば、すでに LibreSSL の開発が活発に行われており、OpenSSL のコードがかなりクリーンアップされていることがわかる。LibreSSL のプロジェクトページには次のようにある。

「利用者が LibreSSL を明日にも欲しいと思っているのはわかっている。我々は全力で開発に取り組んでいるが、当面の目標は OpenBSD 上で動作する信頼できるソフトウェアを開発することだ。我々は利用者をがっかり(Heartbreak)させたくない」

LibreSSL プロジェクトは、オープンソースモデルがソフトウェア開発における優れた手法であることを示す良い例と言えるだろう。物事がうまくいかなくなったとき、コードがオープンであれば、それをフォークし、異なる手法で進めることができる。これは、プロプライエタリなコードには真似できないことだ。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。