昔、WindowsNT4の頃に、ひどい目にあったIT技術者はWindowsを感情的に嫌うひとが多いです。その反動からか、BSDやLinuxの安全思考は力強いブランドを得て、BSDはMacのベースOSとして活用され、LinuxはサーバOSとして世界中を席捲する流れになりました。
ところが最近、Linuxや周辺を取り巻くソフトウエアのセキュリティ問題が大きくクローズアップされています。
オープンソースは多くの人の目に触れるから脆弱性が見つかってもすぐに修正されるという問題は、最近新たな価値観に変わりつつあるように思えます。
・人間は必ずバグを作りこむ
・人は間違ってないと信頼しているものには、驚くほど関心を持たない。
・メジャーなソフトウエアでもびっくりするような不具合があった。
結局のところ、「枯れたソフトウエア」が実は枯れていなかったというのが流れで、セキュリティ問題は、全ての時計の針を最先端への追従へと強制します。
Ruby on railsを維持するためには常に最新のトレンドへの追従が必要と言われますが、OSレイヤーにおいても、この価値観は適用されるのかもしれないです。
徳丸浩の日記: GHOST脆弱性を用いてPHPをクラッシュできることを確認した
この問題もPHPの入れ替えは必要なくても、OSへのパッチ適用は必要です。安定版かつ追従版であるCentOS等へのパッチが少し遅れたのは、今のところ問題ありませんが、世界が小さくなっていく中、今後は、安定版OSへのパッチの適用のタイムラグが致命傷になることはありうるでしょう。
Googleのような超巨大サービスに謎のクラックがあるのではないか?という疑惑は出ていましたが、未知とされているセキュリティ不具合が影響をしている可能性は否めないタイミングに入っているとは思います。
遠くないうちに1秒でも早く公開されたパッチを適用することが、生死を分ける時代が来てもおかしくありません。
枯れた技術を好むのは、安定性を求める技術者の1つの特性だと思いますが、それだけだと難しい時代が来てるように思えます。組織の方向性が枯れた技術を好むとすると、それは安定性志向の現れなので、現状維持バイアスを乗り越える説得力をつけるための技術検証力や適応力が必要だと考えます。
もしかしたら、安定するシステムにおいては、身バレをふせぐためにプロプライエタリの時代がまた来るのかもしれないです。もちろんオープンソースの優位性は揺らぐものではありませんが、オープンソース技術やエコシステムが破壊的イノベーションとして追いかける立場だった頃はともかく、今のような「全員が同じものを使う」というコモディティ化した時代にはメリットだけでなくデメリットも存在します。選択肢としては、そういうことも考えていく時代になっていくのかもしれませんね。
少なくとも簡単にOSを入れ替えられないモバイルやホームセキュリティのようなブラックボックスデバイスへのLinux適用は少し難しいのではないでしょうかね。もっとシンプルで、モバイル特化したOSがあってもいいように思えます。以前はモバイル(組み込み)向けOSはPalmやOS-9なども含めて、いくらでもあったような気がしますが、最新のデバイスや通信プロトコルへの接続性、素敵なアーキテクチャによる製品性なども含めて何がイケてるんでしょうかね。