【Favorites】オープンソースソフトウェアの品質体制
http://www.itmedia.co.jp/enterprise/articles/0605/31/news009.html
◎Sun microsystemsのStar Office(日本名Star Suite)にマクロウィルスが見つかり、母体であるOpenOfficeにも波及する可能性があるそうだ。 情報量が少なく、致命度や緊急性の評価ができないらしい。
ていうか誰が評価して、誰が判定するのかな。
◎OpenOffice.org(orzじゃないぞ)に関しては、一応Sunが開発の中心にいるので、よほどのことが無い限りSunが(ベンダーの義務として。 これは後述)修正パッチを出すだろう。 しかし、同様の脆弱性問題が例えばMozillaで起きたら、Linuxで起きたら…残念ながらオープンソースソフトウェアの大半はMicrosoftのプロプライエタリ・ソフトのような「攻撃と言う洗礼」をほとんど浴びていない。 このためオープンソースソフトの大半や、それを母体とするプロプライエタリソフトの大半は、耐脆弱性の判断を受けていない。そして同じことが、サポート体制に言えるのではないか。
◎発見した脆弱性には、その脆弱性によってもたらされる被害の深刻度、危険性という「外的なリスク」と、その脆弱性を修正するために必要とされるリソースの総量(人、金、時間…)およびその実現可能性という「内的なリスク」を含んでいると言えるだろう。外的なリスクに関してはそのソフトがプロプライエタリであろうがオープンソースであろうが関係なく、単純にソフトの技術的欠陥だけの問題なのでこれは同列に語れるが、内的リスクはそうはいかない。 オープンソースソフトウェアの根底にある「自由な環境」は、裏返せばソフトに対するリソースを制御できないことを示すからだ。
◎プロプライエタリなソフトの場合、ユーザーはそのソフトに対する対価を支払っている以上、ベンダーはその品質を保証する義務がある。(まぁ、ベンダーの品質意識次第ではあるが)問題は、純粋なオープンソースソフトウェアやフリーウェアの場合、たとえば原作者は著作権は保持できるがサポート責任までは負わず、サポートするかどうかはそのプロジェクトに参加している人たち(フリーウェアであれば、プログラムの作者)の意思次第にかかっている。まぁオープンソースソフトウェアの側にだってそのソフトウェアを広めたい、と言う願望はあるだろうからほとんどの場合パッチはちゃんとリリースされるだろうが、莫大な費用と時間、そして人的リソースを投入して取り組まねばならない程深刻、かつ解決困難な脆弱性に突き当たった時、オープンソースプロジェクトはその修正にかかるリソースを安定して確保することができるだろうか?
◎さらに、パッチをリリースするまでの舵取りを誰が行うのかという問題もある。 ソフトウェアはプログラマが構築・実装すれば良いというものではなく、そのそのテストや配布方法のコントロール、アフターサービス等、一般企業であれば品質保証部門や市場サポート部門、マーケッティング部門が行っているタスクを誰かが「自分の役割として」それを実行せねばならず、さらにそれらを有機的にコントロールするセクション(企業なら経営陣に相当する)が必要になるはずだ。つまり、修正の為のリソースの他に、その修正をリリースし管理するためのリソースをも必要になるということだ。これを、たとえば賃金とかそういう強制力のない組織であるオープンソースプロジェクトが、それらのリソースを確保・運営していけるかどうかが課題となる。
◎さて。
OpenOffice.org自体は私は比較的好意的に見ていて、Microsoft Officeが提供するのと(少なくとも)同等なオフィススイート環境をきわめて低価格で実現できるのであれば、ソフトウェアとしての価値は非常に高い。しかし、上記に書いたような理由によりオープンソースソフトであるが故にその品質保証・サポート体制に対してどこまで信頼してよいかが判断できないため、今のところ導入や切り替えには至っていない。(まぁ、会社はどのみちMS-Officeなので、個人用途に関して、だが)こういった不安を払拭するひとつの方法として、Linuxがそうしたように、オープンソースソフトを製品のコアとし、その外殻をアドインで構成したプロプライエタリなソフトウェアに仕上げ、かつ低価格(あるいはフリー)に配布するビジネスが成立するベンダーがリリースすることだ。(ビジネスが成立する、と言う意味で、Sun microsystemsは、残念ながら信頼に値しない)もちろん他にもオープンソースソフトウェアが現存するソフトウェアの牙城を切り崩すためのアプローチはいろいろある(これについては、そのうち書く予定)だが、とりあえず品質保証による顧客満足、ユーザの呼び込みと言う意味では、有効な手段ではないだろうか。自由意思による製品開発も大事だが、時として、何かをエサにした拘束や強制も、「モノを生み出し、提供する」ためには必要なのだ。理想論でなく、現実として。
0 件のコメント:
コメントを投稿