シマンテックCEOが「コードレビューには容認できないセキュリティリスクがある」と語る
by Jason Hutchens
シマンテックが海外で製品を売るために認めていたコードレビューを2016年以降は受け入れない方針に転換したことについて、グレッグ・クラークCEOがその理由を「コードレビューには、容認できないセキュリティ面のリスクがある」と初めて明かしました。
Exclusive: Symantec CEO says source code reviews pose unacceptable risk
http://www.reuters.com/article/us-usa-cyber-russia-symantec/exclusive-symantec-ceo-says-source-code-reviews-pose-unacceptable-risk-idUSKBN1CF2SB
これはロイターによるインタビューの中で語られたもの。シマンテックでは、海外で製品を売るために、コードレビューを認めていましたが、2016年から認めない方針に転換していました。
方針転換自体は2016年6月に明らかになっていましたが、その理由が「容認できないセキュリティリスクがある」というのは、今回初めて語られました。クラークCEOによると、コードレビューを認めたことが何らかのサイバー攻撃に繋がったという決定的な証拠があるわけではないとのことですが、他のユーザーにとって受け入れることのできないセキュリティリスクであると考えたとのこと。今後も海外での製品販売自体は継続されますが、クラークCEOは「『自由にクラックして、中をじっくりご覧下さい』という意味ではありません」と釘を刺しました。
近年、同じようにしてコードレビューに抵抗する企業は増加しています。シマンテックがこの姿勢を明確にしたことについて、西側諸国のセキュリティ専門家からは賞賛の声が挙がっており、専門家の中には、ロシアや中国からアメリカを守るために、アメリカのIT企業に求められる姿勢になるのではないかと語る人もいます。
ただし、これは特にコードレビューを認めたくない相手だったロシアでのシマンテックの市場シェアはそれほど大きくなかったことから方針転換が可能だったという見方もでき、もっと海外向けの投資を行っている企業だと、今からの方針転換は難しいかもしれません。
・関連記事
「脆弱性を探すためにコードを読むな」とOracleの最高セキュリティ責任者がブログを投稿後に速攻で削除 - GIGAZINE
サイバーセキュリティになれる頭脳があるか判別できる6つの暗号解読テスト - GIGAZINE
ある開発者が未だに後悔しているコードとは - GIGAZINE
・関連コンテンツ