昨年、あるメンバーによって安楽死させられると目されたApache OpenOfficeだが、現在も存続しており、5月末までにアップデートが行われる予定だという。
このオープンソースの生産性スイートは、その緩慢な更新スケジュールに愕然とした人々や、最小限のボランティアの人員で活気を維持できるかどうか疑問視する人々から「よろめく死体」と呼ばれてきた。
10 月にリリースされた最新バージョンの Apache OpenOffice 4.1.3 には、未公開で今のところ修正されていないセキュリティ問題が少なくとも 1 つ含まれています。この問題は、1 月に開催された Apache Foundation 取締役会の議事録に記載されていますが、説明はされていません。
今週の水曜日の時点で、取締役会議事録には、遅ればせながらリリースされた OpenOffice 4.1.4 で 1 つ以上の謎の脆弱性が修正されることを説明する次の一文が含まれていました。
開発中のリリース 4.1.4 には、少なくとも 1 つのセキュリティ修正が含まれます。
しかし、その翌日、The Registerが OpenOffice の状況を調査していたところ、ソフトウェア財団内の誰かが私たちの調査に気づき、議事録を改変して、OpenOffice のセキュリティ問題への言及をひっそりと削除したのです。
つまり、Apacheはセキュリティパッチを何ヶ月も放置していたという事実を隠すために、公開記録を改変したのです。文書の最新版はこちらです。なお、この議事録は3月に公開されたもので、Apache財団に連絡を取った後、今週4月27日(木)に修正されたことをご承知おきください。
摘発された…アパッチの取締役会議事録のディレクトリリストは、1月の記録が今週改ざんされたことを明らかにする -エル・レグが質問を始めた後
Apache OpenOffice プロジェクト管理委員会のメンバーである Jim Jagielski 氏は、この生産性スイートの終焉に関する話を「『いつもの容疑者』が広める典型的な FUD」として一蹴した。これは、LibreOffice などの競合ソフトウェアを好む人々や、OpenOffice の存続可能性について懸念を表明している人々のことを指していると思われる。
歴史愛好家なら、ヤギェルスキ自身が2016年に同様の見解を表明していたことを覚えているかもしれない。「ここ数ヶ月で気づいたように、AOO(Apache Open Office)はここしばらく健全なプロジェクトではなかったことが取締役会にとって明らかになった」と述べている。実際、このソフトウェアの開発に取り組んでいるプログラマーはほんの一握りに満たないようだ。
本日The Register宛ての声明で、Jagielski氏はOpenOfficeが次のアップデートまで生き残ることを保証した。「AOO PMC(プロジェクト管理委員会)は、分析・検証済みのセキュリティ問題の修正を提供する4.1.4リリースに全力で取り組んでいます」とJagielski氏は述べた。「リリース時期はApacheCon開催中か直後になる見込みです。」
次回のApacheConは、5月16日から18日までフロリダ州マイアミで開催される予定です。バージョン4.1.4は2017年第1四半期にリリースされる予定でした。つまり、5月中旬にリリースされた場合、約1か月半遅れることになります。
1 月に言及された謎のセキュリティ修正に関して、Jagielski 氏は、PMC 取締役会議事録の公開バージョンから機密詳細が隠されるのは普通のことだと主張している。
「これには悪意や不正、あるいは秘密主義的な要素は一切ありません」とジャギエルスキ氏は述べた。「法的な懸念から非公開にする必要がある項目もあります。また、報告されたセキュリティ問題が妥当かどうか、あるいはPMC(パブリック・コミュニティ・コミッティ)にとって問題となるかどうかなど、公式に分析されるまで非公開にしておく項目もあります(時折、外部のサードパーティ製コードベースの脆弱性に関する報告もあり、その場合はPMCと調整する必要があります)。」
ジャギエルスキ氏は、こうした慣行は理事会に潜在的な問題に関する洞察を与え、そのほとんどは実際には深刻な懸念事項ではないと述べた。「理事会の報告書は、良い面でも悪い面でも、人々に熱心に読まれることを私たちは知っています。そして、ほとんどの私的セクションに存在するかもしれない根拠のない悪意を広めることは、批判する人々以外には誰の利益にもなりません」と彼は述べた。
Jagielski 氏は、OpenOffice ユーザーのほとんどがコミュニティ提供のビルドをダウンロードして利用していることを認めつつ、複雑なアプリケーションを慎重にテストせずに急いで修正すると、メリットよりもデメリットの方が大きくなる可能性が高いと強調した。
そして私たちは待ち続ける。バージョン4.1.4がリリースされるまで、説明されていないセキュリティ上の欠陥の詳細が秘密にされ、エクスプロイト作成者の手に渡らないことを祈るしかない。®
