OSSの利活用にあたってポリシーは策定していますか? − フレクセラ・ソフトウェア
2014年に発覚したオープンソース・暗号ライブラリ「OpenSSL」の脆弱性による被害は、「Heartbleed」の名称とともに読者の皆さまであれば記憶に新しいのではないだろうか。また同様に、オープンソース・Webアプリケーションフレームワークの「Apache Struts2」に潜んでいた脆弱性を突いた事件も、その被害の大きさや影響範囲の広さと合わせ印象に残っている方も多いことだろう。これらに共通するのは、ともにオープンソースであること。「問題が生じた場合、その責任の所在はどこなのか?」という課題が生じてしまう。
しかも、調査の結果39%が驚くことにOSSのコンプライアンスを管理する担当者が社内に存在していない、誰が管理しているのかさえわからないという事態に。そうなってしまうと、事態の収拾も遅々として進まず適切な対応も行えない。また、OSSの利活用に関しては単に脆弱性の問題だけではなく、その使用に関するライセンスにも気を配らねばならない。ライセンス条項に違反し多額の罰金や訴訟費用を追わねばならないというリスクも潜んでいる。
そういった状況を踏まえ、フレクセラではOSSのリスクを再確認し、リスク管理を行うよう提唱している。まず挙げたのは、OSSのライセンス管理とコンプライアンス管理の基本を組織のあらゆるレベルの従業員に対する教育だ。また、OSSに対するポリシー策定や利活用したOSSを追跡できるような仕組みを担うオープンソース・レビューボード(OSRB)の設置も肝要だという。
そして、ソフトウェア構成分析ツール等を用いて実作業者が手を煩わせることなくOSSの検出・管理が行える仕組み作り、加えて、過去の資産はもちろんこれから世に送り出す製品で利活用しているOSSの追跡・レポーティングが行える環境作り等が重要であるとしている。
問題によっては企業活動に甚大な影響を与えかねないにも関わらず、OSSに関するポリシーやオープンソース・レビューボード(OSRB)のような適切なチームを組織していない企業は思いの外多い。フレクセラによれば、ソースコードの大半がOSSやサードパーティで作られたものも見受けられるという。「うちは全て自社で開発しています」と明言していても、解析の結果実際はOSSをバンバン利用していたという想定外の事態も起こりうるわけだ。
先にも述べたが、現在のソフトウェア開発においてOSSは切っても切り離せない存在だ。正しくOSSを理解し、OSSの扱い・責任者を明確化し、万一問題が生じたとしても瞬時に対応できるような体制を準備しておく必要をもう一度、再確認し行動に移して欲しいとのことだ。甚大な影響が顕在化してしまってからでは手遅れとなる。
