How to keep 'Security' in Open Source

私はどうやってオープンソースにおけるセキュリティを保つかに関していくつかの意見をいただきました。セキュリティに詳しくない開発者がセキュリティーホールを備えているモジュールを発行するとき、現在、日本では、熟練の開発者が公開を止めて、すぐにモジュールを修理するように警告します。一部のユーザーはこれに関して私にメールしました。

(ん？彼らはなぜ直接その熟練開発者に連絡しなかったのか？なぜ彼らは直接議論しなかったのか？その理由は、彼らが日本人だからです！今に始まったことではありません。)

それは難問です。 xoops.org や jp.xoops.org では、セキュリティはかつて完全に崩壊していました。ソースはオープンでしたが、だれもソースをチェックしようとしませんでした。ユーザは常に危険に直面していました。

日本も、同じ状況を抱えています。しかし、２〜３の熱心なプログラマが、時々モジュールをチェックしようということを始めました。それはxoops.orgとの違いです。これは、幸せなことですか？それとも不幸なこと？　彼らが、チェックするのを止めれば、私たちはすぐに危険に直面することになります。XOOPS Cubeプロジェクトがアナキズムとミナーキズムであるので、プロジェクトには、品質チェッカーがいません。

私は、ユーザは自由において自己防衛が必要だと思います。しかし、アナキズムは政府的秩序は否定しますが、独自の秩序は否定しません。コミュニティが防衛を共有することは良いことです。もし、別の意見がありましたら、ぜひ議論を進めてください。

しかし、もしあなたが、プログラムは開示されてさえいればパッチ提供で自動的に修理されていくと考えているなら、あなたが今まで実際にどれだけの数のパッチを他の方のプログラムのために提供してきたかを回顧してみてください。そして、あなたが望むムード作りを計画しているのであれば、あなたは継続的に日本コミュニティで何かを書くべきです。私のような第三者にメールを送ることによって、他の人の継続的な活動に対抗しようというのは、奇妙な発想です。

いずれにせよ、コミュニティのメンバーは、オープンソースプログラムのすべてが安全でないことを知っておく必要があります。 コミュニティーのメンバーが同じ前提条件を共有すれば、次のステップに進むことが可能でしょう。あなたは実際に何をしますか?

特に、多くのユーザが、私よりXOOPSに関して長年の経験を持つ先輩です。私は、彼らがどのくらいのオープンソースコードを実際にチェックして、どのくらいパッチを実際に提供してきたきたのか聞いてみたいです。私が知る限り、JM2さんが X2 レビューのために戻るまで、誰もそのような動きを見せていなかったと思います。