米国機関が公表したところによると、オープンソースソフトウェアには1000行に1件の割合でセキュリティに関連するバグが含まれているそうである。このことをどう見るべきなのだろうか。

「オープンソース・ソフトのセキュリティ・バグは1,000行に1件」(Computerworld.jp)

「だからオープンソースは当てにならない、品質の悪いものだ」とするか、「まあ、そんなもんでしょ。だからどうしたの？」と見るべきか。前者などはMicrosoftが好んで使いたがるロジックであるような気がする。後者は別に開き直っている立場のものではない。

　調査したグループの人達はどれほどのスキルを持ち合わせているのか知らないが、神様ではあるまい。現在のソフトウェアで、セキュリティ的に万全のものということはありえないだろう。おそらく、従来「危険」とされてきたパターンにしたがって、ソースコードを機械的に判定した結果だと思われる。そのパターンも時間とともに変化してくるものであるから、いつまでも100%安全なソフトということはありえないだろう。

　肝心なことは、誰でもその危険さを調べることができるということである。オープンソースは誰でも参照することができるから、悪いところはいい意味で徹底的に叩かれる。そして叩かれる部分の情報も公開されているから、どんどん修正も進む。有用なソフトほど注目度は高いから叩かれやすいし、それに対する対応も早いことになる。オープンソースソフトウェアは叩かれて叩かれて、タフな成長を遂げるのである。だから「そんなものでしょ」なのである。

　一方でオープンではないソフトウェアはどうか。不具合やセキュリティのバグの疑いがあったとしても、メーカーに苦情を言うくらいしかできない。「対応しました」とだけ言われれば、それきりである。トラブルに見舞われても最終的には公開されていないものはお手上げになる。問われるのはソフトウェアの内容ではなくて、企業の姿勢だけである。だから厳しくみれば、どちらが安全になるかといえば、今の世界ではオープンソースソフトウェアのしくみに軍配が上がるのである。

　しかし一般のニュースにオープンソースソフトウェアにバグありと報じられると、わからない人にはいい加減なソフトなのだなという印象しか与えないだろう。実は商用ソフトでも、公開されてないだけで、見る人が見ればいい加減な部分はいっぱいあると思えるのだが。、