Mozilla、セキュア・コーディング分析ツールを外部開発者に公開へ――ソフト開発コミュニティ全体の脆弱性削減の取り組みに貢献?

 米国Mozilla Corporationの幹部は、先週ラスベガスで開催された「Black Hat 2007」(7月28日~8月2日)で講演し、Webブラウザに存在する脆弱性を減らすための取り組みとして、同社が社内で開発した広範なセキュア・コーディング分析ツールを、社外の開発者と共有していく方針を明らかにした。

 サンフランシスコに拠点を置くMozillaでセキュリティ責任者を務めるウィンドウ・スナイダー氏によると、MozillaはJavaScriptコードのセキュリティ・ホールを発見するツールを手始めに、多数のファジング・プログラムを開発者に公開することを計画しているという。

 Mozillaの共同設立者であるマイク・シェーバー氏とスナイダー氏は、同社が社内開発した技術が、MicrosoftやOpera、Appleなどの競合ベンダーの製品も含む、Webブラウザ全体のJavaScriptエラーを除去するのに役立てたいと強調。Webブラウザ開発をはじめとする大規模ソフトウェア開発コミュニティが安全なコーディング基盤を確立できるよう、自社技術を他社の開発者に提供することを明らかにした。

 スナイダー氏は、他ベンダーが同ファジング・ツールを利用して、Webブラウザ・ベースのマルウェア攻撃からエンドユーザーを守ることができるようになることが何よりも重要だとし、ユーザーの保護がすべてのブラウザ・セキュリティ開発者が共通して掲げる目標だと強調した。

 自社のJavaScriptファジング技術を競合他社に開放するというアプローチは、Mozillaがあらゆるプロセスに取り入れてきたオープン志向の姿勢が反映されている。InfoWorld 米国版のインタビューに応じたスナイダー氏は、今後数年をかけて、ほかのスキャン技術の精度向上にも力を尽くしていきたいと語った。

 Mozillaは今年末までに、HTTPおよびFTPコードを検証する2つのファジング・ツールを、新たにリリースする予定だ。そのほかにも、簡単かつ効果的に導入でき、システムの合理化を実現するレベルに達したものから、同種のファジング・ツールおよび技術を提供していく計画という。

 Mozillaのこうした取り組みに対しては、すでにOperaが好意的な姿勢を示しているとされる。Operaはすでに、MozillaのJavaScriptテスターを独自の目的のために改造することを表明しているという。

 スナイダー氏は、こうした企業間の相互交流こそが、Mozillaが社内開発技術の開放を決定した最大のねらいだと力説する。

 今回、スナイダー氏とシェーバー氏は、Mozillaの次世代ブラウザ「Firefox 3」に搭載する新たなセキュリティ機能についても紹介した。

 年末前にリリースされる予定のFirefox 3では、電子証明機能やマルウェアおよびフィッシング対策、パスワード保護機能などが強化される予定で、ユーザーがさまざまな保護機能を一括して管理できるセキュリティ・インタフェースも実装される。

 加えて、既知のマルウェア・サイトをユーザーが閲覧してしまうのを防ぐ、警告機能も新たにサポートする。シェーバー氏によると、一部のケースでは、Firefox 3が危険なサイトへのアクセスも同時にブロックしてくれるという。

 評価指数分析企業のネット・アプリケーションが4月に発表した統計結果によると、世界のWebブラウザ市場におけるFirefoxのシェアは15.1%となっている。同市場で圧倒的な優位を誇っているのはMicrosoftの「Internet Explorer」で、シェアは78.6%に達している(Webブラウザの市場シェアを掲載するネット・アプリケーションズのサイト)。

(マット・ハインズ/InfoWorld 米国版)

米国Mozilla Corporation
http://www.mozilla.com/en-US/

提供:Computerworld.jp