非営利団体のOWASP、オープンソースのファイアウォール/IDSを公開予定

■URL
http://www.owasp.org/
http://www.owasp.org/codeseeker/pressrelease.htm
http://lists.sourceforge.net/lists/listinfo/owasp-codeseeker

　米Butterfly Securityは19日、同社のファイアウォール/IDS（侵入探知システム）製品「CodeSeeker」をオープンソースにして、非営利団体「The Open Web Application Security Project」(OWASP)に寄贈したことを明らかにした。

　OWASPは、WebアプリケーションやWebサービスを安全にするためのフリーのオープンソースソフトウェアツール開発や、ソフトウェアのセキュリティーを高めるための指針を記したドキュメントなどを整備している非営利プロジェクトである。OWASPでは、CodeSeekerプロジェクトをオープンソースにし、GPLライセンスのもとで公開する予定だ。

　この決定についてButterfly SecurityのCTOであるGabriel Lawrence氏は「セキュリティーの世界に脅威が増している今、我々はオープンソースモデルこそが大多数の企業や組織のWebアプリケーションを危険な攻撃から防ぐための最も効果的な方法であると信じている」とコメントしている。

　クローズドソースによるファイアウォールやIDSには、しばしばセキュリティーホールなどが発見され、そのたびに侵入ツールが流布されるなど、問題となっている現状がある。オープンソースとクローズドソースのどちらかより安全であるかという議論に結論は出ていないが、ここにもう一つオープンソース陣営から提案が出されたことになる。プロジェクト参加希望者はSourceforgeに設置された専用メーリングリストに参加し自己紹介するよう提案されている。

　CodeSeekerは、トラフィックをモニターして危険な行動や危険と思われるリクエストを分析し、そのトラフィックを通すべきか否かを自発的に発見していく。攻撃パターンを分析して自発的に発見していくため、定義ファイルのアップデートなどの必要がないとされている。また、広帯域を前提として開発されていることも大きな特徴の一つだ。このツールはJavaとC/C++、XMLで記述されており、WindowsNT、Solaris、Linuxで動作する。

　OWASPでは、1.0β版のソースコードを12月はじめにOWASPのサイトで公開する予定で、正式なリリースはWindowsNT版とSolaris版が2003年1月、少し遅れてからLinux版が発表される予定だ。

(2002/11/20)

[Reported by 青木 大我 (taiga@scientist.com) ]