JavaOneのオープンソース的朗報

　今週開かれた「JavaOne」で、目立ちはしなかったものの歓迎すべき発表があった。Fortify Softwareがオープンソースプロジェクト「FindBugs」と提携を結んだのである。

　現在、FindBugsの最初の開発者はほかのプロジェクトに取り組んでいるのだが、これを存続させるために、Fortifyがエンジニアを貸与することに同意したという。同プロジェクトの創立者で、メリーランド大学（バスケットボールの強豪Terrapinsで有名）の教授であるBill Pugh氏は、Fortifyが取り組みに時間を割くだけでなくコードも提供していくという決定を大いに喜んでおり、Javaのセキュリティが大幅に向上すると期待を寄せている。

　Fortifyの「Source Code Analysis」スイートは、ソースコードをスキャンし、バグであるかどうかを特定するルールを適用する製品。これがFindbugsでも利用できるようになるわけだ。

「企業は、境界セキュリティを導入することで身を守ろうとしてきた。だがわれわれは、ソフトウェア開発のライフサイクル自体にセキュリティを組み込んでいこうと考えている」と語るのは、Fortifyのエンジニアリング担当バイスプレジデントBarmak Mestah氏だ。このためには、「ソフトウェアをリリースする前にそのセキュリティを確立および検証する」必要があり、Findbugsがそうした役割を果たすようになると、同氏は説明している。

　Pugh氏は、Javaは他に勝るセキュリティ上の優位をすでにある程度有していると言う。「Javaでは、チェック作業をする必要がないことが保証されている。一方Cでは、配列の範囲外でコードを記述すると、大混乱状態に陥ってしまう」（Pugh氏）。Javaにはこうした問題は存在しない。「Javaは安全な言語なので、バグもそれほど詳しい分析をせずに見つかるレベルのものだ。だがCには、ポインタや配列範囲といった課題が残されている」（Pugh氏）

　Javaがより安全になるということは、インターネットがさらに安全になるという意味でもある。すなわち今回の提携は、2社はもちろんユーザーにとってもメリットのある、三方有利なものなのだ。オープンソースプロジェクトに従事するエンジニアが、プロプライエタリ企業から給料をもらうというのは少し違和感があるが、「混合ソース」モデルとでも考えればよいのではないだろうか。

（Dana Blankenhorn）