Nessusの分派

先日、ネットワーク脆弱性スキャナ「Nessus」の作成元が、次期バージョンをオープンソースにしないと発表した。このニュースのおかげで、近々名称変更予定であるGNessUsプロジェクトの支援チームはこのところ急速に拡大し、大きな注目を集めている。

事の発端 は、10月5日にNessusの著作権を持つTenable Network Security社(1998年設立)が、Nessus 3.0をGNU General Public License(GPL)の下ではリリースしないと発表したことだ。同社は、GPLed 2.2.xシリーズは引き続き維持するが、近日リリース予定のNessus 3のソースは公開しないと明言した。これを受けて、10月10日までにGNessUsプロジェクトはNessus 2.2.5に基づく分派をスタートさせ、この分派を取り巻くコミュニティが早くも形成されつつある。

イギリスのPortcullis Computer Security Limitedの侵入テスト担当者であり、GNessUsの創立者でもあるTim Brownは、このプロジェクトの分派を作るというアイデアはイギリスのセキュリティ業界の仕事仲間との会話から生まれてきたものだと語っている。

Brownは、Tenable社がNessus 3をGPLにしないという決断をしたのは驚くに値しないと述べた。というのも、同社は既にNessusのプラグインストリームを分離しており、Brownらの懸念――財政的な理由または手軽に入手できないという理由で人々がプラグインストリームをチェックしなくなれば脆弱性が見過ごされるのではないか――を無視してきたからだ。「私の分派はこのコミュニティに非常に力を入れている」とBrownは語った。

昨年12月に実施されたこの分離により、3部構成のストリーム構造が作成された。Tenableから提供される最新の脆弱性チェックを備えたフリーベースの「Direct Feed」、Tenable社に登録し、プラグインについての同社のライセンス契約に同意した人が利用できる「Registered Feed」、そしてユーザコミュニティから提供されるプラグインを含んだ「GPL Feed」である。

Tenable社のCEOで共同設立者の1人であるRon Gulaによると、Nessus 3は商用ライセンスでありながら、今後もフリー製品であり続けるだろうということだ。さらに、ユーザコミュニティによる調査や貢献を受け入れるために、脆弱性チェックの配布も行われるそうだ。

「オープンソースは、状況によっては成功モデルになり得る」。GulaはNessusの成長ぶりについて言及し、今後もTenable社を中心としたNessusコミュニティを存続させたいという意向を述べた。「我々はNessusの伝統を誇りに思っているし、Nessus 2.xは引き続きGPLで公開するつもりである」。

しかし、それと同時に、同社の新しいビジネスモデルは「完全にサポートされた商用ライセンスの製品がほしいという顧客の要望の増加」に応えたものであるとも語った。

GNessUsプロジェクトはこの3週間近くで約50人の投稿者を得るまでに成長し、Brownはこの若いコミュニティの参加者に強い一体感を持たせるために、同意による意思決定モデルを導入した。GNessUsのWebサイトへの投稿でも、メーリングリストの投稿者に向けて、プロジェクトのWikiに登録してそれぞれの意見を主張できるようにしようと呼びかけた。

Brownが同意モデルというアイデアに触れたのは、Independent Media Center(IMC)の仕事を通してである。IMCは、その組織を構成している人々の意見をきちんと踏まえて決定を下している、とBrownは語った。

「人は自分の立場に固執しすぎるきらいがあり、それが開発作業を崩壊させることもある」とBrownは述べた。「多くの人とうまくやっていくためには、大多数の意見を知らなければならない」。

コミュニティ的な意思決定モデルは既に実践されている。Tenable社はBrownに対して、GNessUsというプロジェクト名を問題のソフトウェアの名前を含まないものに変更するよう求めている。Gulaによると、Tenable社はこの名前を商標として保護する予定であり、アメリカではまだ申請中だが、フランスでは既に登録済みということだ。

Brownは、この名前を法廷で争っても負ける可能性の方が高いと考えた。そこで、「これが将来的に問題になるだろうという懸念を表明した多くの人々」のアドバイスに従い、Brownはこの新しいコミュニティの名前を公募することにした。

32種類の名前候補と登録済みドメイン名のオファーを受けた段階で、現在は公募を締め切っている。候補として挙げられたものの中には、OpenVAS(Open Source Vulnerability Assessment Scanner)のバリエーションもいくつかあった。Brownは、いずれかの登録済みドメイン名を使用するか、その他のいずれかの名前について合意を得るか、ということをコミュニティに問いかけている。

Brownによると、現在、Debianの商標保持者であるSoftware in the Public Interest(SPI)に連絡を取り、いずれかのドメイン名をオープン開発ドメインとして仲間入りさせてくれないかと打診しているそうだ。

さらに、開発者にとって魅力的なのは、GNessUsが既に2社の商業スポンサーを得ているということだ。Brownは具体的な名前を明かさなかったが、どちらもアメリカの企業で、1つは「メジャーなオープンソースセキュリティ製品」の開発元であり、もう1つは同プロジェクトに1,000個以上のプラグインを寄付しているアメリカを拠点とするグループであるそうだ。

GNessUsプロジェクトとTenable社との間に公式のつながりはないが、お互いに目指すところは似ているため、Brownは少なくとも「お互いの利益になる領域では」同社と協力していくつもりだと語った。Brownが名前の問題であっさり引き下がったのには、この辺りにも一因がある。

「Tenable社と友好的な話し合いをする機会があったので、私はそれに応じた」とBrownは語り、さらに、すべてのバージョンのNessusを効果的で価値あるものにすることを共通の利益にしていきたいと付け加えた。「私は深刻なセキュリティ問題を見つけたらTenable社に連絡するつもりだし、彼らにも同じようにしてほしいと願っている」。

原文