ニュース

Heartbleedバグの轍を踏まないために業界が結束

〜Linux Foundation中心に「Core Infrastructure Initiative」を設立

 米The Linux Foundationは24日、基盤となるオープンソースプロジェクトを資金的、人的に支援するため、IT業界主要各社と共同で新イニシアチブ「Core Infrastructure Initiative」(CII)を設立したと発表した。

 イニシアチブの創設メンバーはAmazon Web Services、Cisco、Dell、Facebook、Fujitsu、Google、IBM、Intel、Microsoft、NetApp、Rackspace、VMware、The Linux Foundation。

 イニシアチブから支援を受ける最初のプロジェクトとして候補に挙がっているのが、最近Heartbleedバグ問題が発見されたOpenSSLプロジェクトだ。CII設立により、主要な開発者のために資金を調達するだけでなく、人的支援などの支援を受けることが可能になり、「セキュリティを向上させる外部レビューを可能にし、パッチ要求に対する応答性を向上させる」ことができるとしている。

 これまでにOpenSSLプロジェクトは毎年2000ドル(約20万円)程度の寄附しか受け取れず、これが重大なバグを見逃した理由の1つだと考えられている。

 CIIはHeartbleedバグに対応する1つの方法として業界によって設立された。しかし、その活動はセキュリティ関連の問題に限られるわけではない。

 具体的な支援方法として、重要な開発者がフルタイムでオープンソースプロジェクトに取り組むためのフェローシップ、セキュリティ監査、コンピューティングおよびテストインフラ、旅行、対面会議の調整、などが挙げられている。

 Linux FoundationのエグゼクティブディレクターであるJim Zemlin氏は、このプロジェクトについて「我々の世界経済は、多くのオープンソースプロジェクトの上に構築されている。Linux FoundationはLinuxの開発に100%集中できるよう、Linus Torvalds氏に資金提供しているのと同じように、他の重要なオープンソースプロジェクトをフルタイムでサポートする開発者やメンテナを追加的に支援できるようになる」と説明した。

 CIIの運営委員会はCIIの会員、開発者、業界のステークホルダーによって形成される。この委員会では支援を必要としているプロジェクトや開発者を見つけ、具体的が資金調達コミットメントを承認し、プロジェクトロードマップを監督し、必要な場合は暗号の専門家やコミュニティーリーダー等を追加するための合意を得るための作業を行う。この運営委員会を支援する諮問委員会は、オープンソース開発者や、コミュニティーによって尊敬されているメンバーからなる。

 このファンド設立のためにLinux Foundationが母体となった理由として、非営利組織で、かつテクノロジー業界との強固な関係を維持し続けていること、中立的な組織であることが挙げられている。

 このCIIには誰でも寄附できる。主要なクレジットカードとPayPalに対応し、PayPalで毎月定額を寄附することも可能だ。

(青木 大我 taiga@scientist.com)