PR

 Struts 1にとってさらに追い打ちとなったのが、開発コミュニティーの方針転換だ。開発コミュニティーは2007年に、Struts 1とは機能や仕組みが全く異なる「Struts 2」を後継バージョンとしてリリースした。開発コミュニティーはStruts 2の開発に専念するために、2008年にStruts 1の新規開発を終了した。そして2013年4月に、Struts 1のサポート自体を終了した。

“OSSのただ乗り”が最悪の事態を招く

 日本の大手ベンダーやユーザーはStruts 1を多くのシステムで使っていたにもかかわらず、Struts 1の開発コミュニティーにほとんど参加していなかった。そのため開発コミュニティーによるサポート終了の決定を覆すことができなかった。

 OSSの世界では、開発コミュニティーの方針に賛同できない開発者がOSSを分離(フォーク)し、別のソフトとして開発を進めることがよくある。しかし日本の大手ベンダーは、Struts 1をフォークしてサポートを継続することもしていなかった。Struts 1というOSSに「ただ乗り(フリーライド)」していたことが、最悪の結果を招いたわけだ。

 結局、NEC、富士通、日立、NTTデータ、NRIの5社はそれぞれ、自社でStruts 1の修正パッチを開発し自社の顧客に提供した。またNTTデータや米レッドハットが修正パッチをオープンソースとして公開したので、これらのパッチを使ってシステムを修正したユーザー企業もあった。しかし依然として、Struts 1を使う多くのシステムで、脆弱性がそのままになっている恐れがある。

1人で開発していたOpenSSL

 2014年に脆弱性が顕在化したもう一つのOSS、OpenSSLは通信データの暗号化やWebサイトの認証などを実現する通信手法「SSL(セキュア・ソケット・レイヤー)」を実現するためのOSSライブラリだ。「Red Hat Enterprise Linux」をはじめとする多くのLinuxディストリビューション(検証済みパッケージ)に組み込まれていただけでなく、米シスコシステムズや米ジュニパーネットワークスなどのネットワーク機器にも組み込まれていた。