として知られるインターネットのバグハートブリードは 2011 年 12 月の大晦日に世界に紹介されました。現在、関係者の 1 人が自分の側面を共有しています。
プログラマーのロビン・セゲルマン氏は、Heartbleed につながる OpenSSL の一部のコードを自分が書いたと述べています。しかし、それは事故でした。彼はそのコードを OpenSSL プロジェクトに提出し、他のメンバーがそれをレビューしました。その後、Seggelmann 氏が新機能用の別のコードを追加し、その後メンバーがそれを追加しました。この追加機能がバグを引き起こしました。
[slug="heartbleed-bug-websites-affected" も参照してください]
ゼーゲルマン氏はこう語った。シドニー・モーニング・ヘラルド実際のエラーは「些細な」ものだったが、その影響は明らかに厳しい。彼と査読者がこの欠陥を見逃したため、最終的には正式リリースに至り、2011 年 12 月 31 日に公開されたと、ログ。
ハートブリードは、脆弱性多くのサイトが通信を傍受できないようにするために使用している暗号化です。理論的には、インターネット トラフィックの最大 3 分の 2 が 2 年以上にわたって暴露されたことになります。セキュリティ企業Codenomiconのエンジニア欠陥を発見した先週、それは公表された4月7日。
名前が示すように、OpenSSL はオープンソースであるため、大小を問わず多くのサービスにとって、簡単に実装できるセキュリティ ツールとして魅力的です。コードを提供したり、Heartbleed のような脆弱性を発見するために OpenSSL をレビューしたりすることで、誰でも OpenSSL に貢献できますが、実際にそうする人はほとんどいません。
「より多くの人が改善に協力してくれればもっと良いのに」と Seggelmann 氏は電子メールで Mashable に語った。 「その恩恵を受ける企業が何らかのサポートを提供するかどうか、あるいは人々が空き時間にそれを行うかどうかは、あまり問題ではありません。しかし、誰もがそれを使い続けて、最終的には他の誰かが面倒を見てくれるだろうと考えているなら、それはうまくいきません。多くの人が見るほど、このようなエラーが発生する可能性は低くなります。」
コードをレビューするための標準は存在しますが、オープンソース ソフトウェアに対して強制するのは困難です。プロセスを改善するには、より多くの人が貢献する時間を必要とするが、より多くの査読を行うことを Seggelman 氏は提案しています。
同氏は、「より多くの人がOpenSSLの改善に参加すれば、提出物ごとに複数の独立したレビューが必要になったり、ソフトウェアの特定部分のレビューに特化した人がいたりする可能性がある」と述べた。
現時点では、影響を受けるほとんどのサイトでバグが修正されています。しかし、Heartbleed の出現により、オープンソース ソフトウェアの特定の責任がどこにあるのかに焦点が当てられました。 OpenSSL のようなツールが普及すると、それらを使用するサービスの数と実際に貢献するサービスの数との間に差が生じる可能性があります。 Heartbleed が証明しているように、真に無料なものはありません。
[wp_scm_comment]
ボーナス: ハートブリードバグとは何ですか?
