You are here: ホーム / qa-security-3
カテゴリ:
セキュリティ
質問:
ソースコードを公開することは、セキュリティ上のリスクにならないのでしょうか?
回答:
まず、悪意のある人が勝手にソースを改変してしまうリスクがあります。実際、これまでに、GNU Projectのサーバに何者かが侵入したこと、Linuxカーネルのソースコードに何者かが不正にアクセスし、ソースコードを改変したことがありました(その時は数時間以内に修正されました)。しかし、これはネットワーク上に何らかの情報を公開しているものすべてに共通するリスクであって、ソースコードを公開していること自体がリスクなわけではありません。通常は、チェックサムや電子署名などを用いて、ソースコードが改変されていないことを保証した状態で公開されます。 次に、ソースコードを見れば、攻撃に対してどのように防御しているかが分かるので、その防御をすり抜けることができてしまうのではないか、という疑問があると思います。 たとえば暗号化処理などは、アルゴリズムや実装方法が分かったからといって暗号を破ることはできません。しかし、それ以外のソフトウェアの場合、ソースコードを見ることで脆弱な部分を見つけ出すことはできてしまうので、この点はリスクと言えます。ソースコードを公開することはセキュリティ上有利な点と不利な点がありますので、「Q:オープンソースソフトウェアはセキュアだと言われていますが、それはなぜですか?」を併せて参照ください。
FAQリストへ:  >> 戻る