サムスンの Tizen には網戸よりも多くの穴があるように見えるが、サムスンの腕時計、テレビ、および一部の携帯電話に搭載されているこのモバイル オペレーティング システムは、見た目ほど悲惨なものではないかもしれない。
確かにひどい状況だ。ロシアに拠点を置く静的コードアナライザーPVS-Studioのメーカー、Program Verification Systemsの創設者兼CTO、アンドレイ・カルポフ氏によると、Tizenのコードベースには約27,000件のプログラミングミスが含まれているという。
ただし、これは、Tizen プロジェクトを構成する 7,250 万行の C/C++ コード (コメントを除く) の 3.3% に見つかった 900 件のエラーから推定したものです。
カルポフ氏の主張は、4月にカスペルスキー研究所のセキュリティアナリストサミットでTizenコードに40件のゼロデイ脆弱性を発見したイスラエルのセキュリティ研究者アミハイ・ネイダーマン氏の調査結果と一致する。
当時、Neiderman 氏は Tizen のコードベースはこれまで見た中でおそらく最悪だと評した。
Tizenソフトウェアの開発者たちも、その通りだと語っている。4月にTizen開発者メーリングリストに投稿された、バグ報告へのプロジェクトの対応の遅さについて、バイオテクノロジー高性能コンピューティングソフトウェアアプリケーション研究所(BHSAI)でソフトウェア開発を行うマキシム・ヒトロフ氏は、「Tizenは全体的にひどいコードで、混乱状態だ」と述べた。
サムスン内部の人間でさえ、Tizenの管理方法には改善の余地があると認めています。ヒトロフ氏の不満に対し、サムスンのオープンソース開発者であるカーステン・ハイツラー氏は、TizenプラットフォームのメンテナーがTizenデバイスを出荷する製品グループに対して限定的な管理権限しか持っていないと指摘しました。
「それぞれ全く異なるチームであり、Tizenで何を、どのように、いつ行うべきかを全員に指示する、一貫した『Tizenリーダー』が一人もいないのです」とハイツラー氏は嘆いた。「プラットフォームのバグは修正できますが、アップデートがデバイスにリリースされるかどうか、あるいはリリース時に変更されているかどうかは保証できません。」
Androidの競合として構想されているTizenは、少なくともGoogleのモバイルOSに匹敵するほどの混乱ぶりを見せている。数で言えば、サムスンは今年中にTizen搭載端末を1,000万台販売したいとしている。Googleは5月、月間アクティブユーザー数が20億台に達していると発表している。
PVS-Studioによって特定されたバグ
しかし、サムスンはTizenの多数のバグを問題視していない。Karpov氏は、自社の静的解析ツールの売り込み文句としてバグリストを作成した。一方、サムスン電子のYouil Kim氏は、TizenメーリングリストでKarpov氏の申し出を断り、サムスンはすでにTizenコードの静的解析に取り組んでいるものの、さらなる問題を発見できる別の無名のコード品質ツールを希望していると述べた。
「Tizenに修正すべき欠陥が2万7000件あるという意見には同意できません」とキム氏は述べた。「ご存知の通り、静的解析の警告の多くは、重要でない問題とみなされることが多いのです。」
それでも、キム氏は、Tizen のコード品質を向上させる方法についてカルポフ氏とさらに議論する余地を残した。
The Registerへのメールで、ネイダーマン氏はTizenのコードには以前から問題があり、今もなお問題があることを認めた。4月に脆弱性を報告した後、かつてTizenの開発に携わっていた複数の人から連絡があったとネイダーマン氏は説明した。「彼らは皆、サムスンはセキュリティをあまり気にしておらず、Tizenをできるだけ早く市場に投入しようとしていたと言っていました」と彼は語った。
ニーダーマン氏は、自身の調査結果を受けて発表された報道がサムスンの注目を集めたと考えている。「サムスンはTizenのセキュリティ確保にさらなる努力を注ぎ始め、支援を求めて複数の企業に連絡を取ったほどだ」と彼は語った。
Tizen のコードはこれまで見た中で最悪だと今でも思っているかと尋ねられると、ネイダーマン氏は言葉の選択について後悔していると述べた。
「それ以来、言葉遣いに気をつけるようになりました」と彼は言い、顔文字でニヤリと笑った。「当時、私が言っていたのは、コードが非常にひどい、セキュリティの観点から15~20年前ならわかるようなひどい状態だったということです」と彼は付け加えた。「彼らはいくつか変更を加えましたが、私は彼らがコードを修正・変更したすべての内容を確認したわけではありません。私が見つけられなかった、あるいは報告しなかった部分を彼らが修正したかどうかは分かりません。ですから、彼らのコードに対するセキュリティ監査がどれほど広範囲に及んでいたのかは分かりません」
ニーダーマン氏は、Tizenは現状ではそれほど悪くはないが、素晴らしいわけでもないと述べた。「しかし、サムスンにとって最悪なのは、Tizenが十分に普及していないことだ。彼らが期待していたようなAndroidの代替にはなっていない」と同氏は述べた。
サムスンの広報担当者は、Tizen®の状況に関する質問にすぐに答えられる人はいないと述べた。
