「Google Chrome に極めて深刻な脆弱性」と言われると、何やらChromeを利用するのは控えた方が、と想像してしまうかもしれないが、これはオープンなハッキングコンペで発覚した話だという。

Google、「Chrome 22」の極めて深刻な脆弱性に対処..(ITmedia)

　そもそもハッキングコンペを行うこと自体、ソフトウェアには脆弱性が存在していて当然という発想があるようにも見える。本来であれば脆弱性を第三者に指摘されると、慌ててそれに対処するパッチを公開するようになっていた。ところがコンペで「どうぞ、脆弱性を探して下さい。より深刻な脆弱性を見つけてくれた方には賞金を出します」と言っているわけだから、Googleの自信というよりも余裕さえ感じられる。

　ソフトウェアは人間が作ったものなので脆弱性はあって当然なわけだから、それならば多くの人によってたかって見つけてもらえた方が効率も高い。一部のハッカーやクラッカーだけが秘かに見つけ出すものにならない方がよい。ならば脆弱性探しもオープンなものにしてしまおうという考え方だろうか。通常であれば脆弱性発見はメーカーにとっては不名誉であることには違いないが、そこでChromeのアップデートのサイクルがある。場当たり的なパッチを出すのではなく、短いスパンでのアップデートにその脆弱性対策が組み込まれることになる。むしろオープンになっていることによって、安全面でのアピールが高まることになる。

　Firefoxなどの最近のブラウザのバージョンのアップデートのサイクルが極めて短くなって、バージョン番号の意味合いさえ失わてきている背景には、メジャーのバージョン番号が必ずしも安全性や脆弱性対策の有無を反映したものではないということがあるのではないか。たとえばバージョン3は脆弱性があって危険だが、バージョン4以降なら安全、という単純な図式ではなくなっているということである。Microsoftの方便なら「Service Pack XX」のようなメジャー番号を変えずにアップデートさせようとするのだが、実際にService Packを当てると、ソフトウェアの表向きの画面は変わらないが事実上は大きなバージョンアップになっている。そうした小手先のセキュリティ対策とバージョン番号が混乱するのをやめて、セキュリティ対策、脆弱性対策だけでも単純にバージョン番号を進めてしまった方がわかりやすいという考え方になったのかもしれない。もっともこのままバージョン番号がいくつまで進むものなのだろうか、とやや気にはなる。