オープンソース ソフトウェアは、実行しているプログラムのソース コードを確認できるため、クローズド ソース ソフトウェアに比べて特に信頼性が高くなります。
それともできますか?
おそらく、すべてのソフトウェアをソースコードからコンパイルしているわけではなく、Linuxディストリビューションが提供するパッケージを入手しているのではないでしょうか。しかし、それらのバイナリパッケージが実際にソースコードからコンパイルされ、改ざんされていないことをどうやって確認できるのでしょうか?
なぜ気にする必要があるのか
バイナリが何らかのソースコードからコンパイルされたことを実際に確認する方法は、通常存在しませんでした。たとえ同じアプリケーションを再度コンパイルして2つのバイナリを比較したとしても、正確なビルド環境を再現し、ソースコードが現在の日時などの変更情報を引き継いでいないことを確認する必要があるため、うまくいきませんでした。しかし、Debianなどのフリーソフトウェアプロジェクトは「再現可能なビルド」の実現に向けて邁進しており、誰でもソフトウェアをソースからコンパイルし、取得したバイナリパッケージがダウンロード用に提供されているものと一致することを確認できるようになりました。
Linux、BSD、Chrome OS、そして Windows 以外の世界の最新情報を知りたいですか? Windows 以外の世界のコラムページをブックマークするか、RSS フィードをフォローしてください。
再現可能なビルド(または「決定論的ビルド」)は、バイナリからソースコードに至るまで、完全な信頼チェーンを提供します。これにより、政府機関、ブラックハットハッカーのグループ、あるいはフリーソフトウェアプロジェクトのサーバーにアクセスできる個人など、攻撃者がシステムを侵害してバックドア付きのパッケージを作成していないことが保証されます。
彼らはどれくらい進歩しましたか?
Debianの再現可能なビルドプロジェクトは、この分野で大きな前進を遂げています。Chaos Communication Campでの最近の講演で、Debian開発者のJérémy Bobbio氏(別名Lunar)が、Debianの進捗状況とその背景について説明しました。(講演の全文はこちらです。)
Debian の再現可能なビルドが進歩しています。
Debian パッケージの 83% 以上が再現可能になりました。これは 18,000 を超えるパッケージに相当し、その結果は reproducible.debian.net で公開されています。チームは、再現可能なビルドがフリーソフトウェアエコシステム全体の標準になるべきだと考えており、開発者向けにソフトウェアを再現可能にする方法を説明する情報を提供しています。
BitcoinとTorは既に再現可能ですが、これは驚くべきことではありません。なぜなら、これら2つのプロジェクトは信頼が鍵となり、改ざんが特に危険なためだ。CorebootというフリーソフトウェアのBIOS代替、OpenWrtルーターファームウェア、FreeBSD、NetBSD、さらにはFedoraを再現可能にする取り組みが進行中である。
これは目新しい機能ではありませんが、ますます巧妙化する攻撃者や様々な政府が私たちが利用するソフトウェアにバックドアを仕掛けようとしている時代に、セキュリティ面で大きな改善をもたらします。これはフリーソフトウェアならではの機能であり、バイナリプログラムが実際に目に見える特定のソースコードからコンパイルされたことを確認できるのです。クローズドソースソフトウェアでは、プログラムが開発者が提供するものと完全に同一であることを確認することしかできません。
