中田真秀(なかたまほ)のブログ

(4/23 12:46微調整)
私はOpenOffice.org日本語プロジェクトリード、かつ、OpenOffice.org Quality Assurance project leadで、さらにsecurity teamのメンバーである(なぜsecurity teamか? これはFreeBSD portingという利害である。何でもやっておくものだ;ただ、立場上情報を公にはできない。確認したくばmahoを指名して、セキュリティ報告をせよ)。

現状、OpenOffice.org日本語版を官公庁など公共機関で利用するには、セキュリティ対策が不十分である。そして誰でも参加できて、参加し、結果報告するだけで、対策できる。またプロセスの改善への参加も大歓迎である。なおアシストの「OpenOffice.org支援サービス」では、セキュリティポリシーは私には教えていただけ無かった。公開してないようでもある。情報を待っている。少なくともリリース品質保証には一度も参加していただいていない。つまりセキュリティ脆弱性については深く考えてないと考えられる。皆さんの参加を求めている。

昨年、高知県は、OpenOffice.orgを不採用とした。セキュリティ対策の不備が理由のひとつである(庁内の PC 約 3,000 台に、Microsoft Office 2007 と Windows Vista を採用)これは妥当な判断である。私も国民としてOpenOffice.orgの採用を全く賛成できない。最悪のシナリオでは、防衛省が機密文書をOpenOffice.orgで書いたとして、脆弱性から機密文書がネットに流れてしまったら、外交上の問題に発展する可能性というのも考えられるだろう。その上、「不採用」こういう判断を多くの自治体が積み重ねると、日本でのOpenOffice.org普及の大きな足かせになってしまう。そうなってしまわないため、ぜひ皆さんにこの点を改善していただきたいと思って、このブログエントリを書いた。
(会津若松市役所は大丈夫である。補遺を参照)

構成は

OpenOffice.org日本語版のセキュリティについて。日本語プロジェクトの機能について。リリース品質保証の状況。まのままでは公の機関で使うのが危険なこと。公的機関などで使うためにどういう参加が必要か。補遺。この順に説明する。

OpenOffice.org日本語版のセキュリティについて。
OpenOffice.orgのセキュリティー脆弱性の修正であるが、現在、リリースを行うことで修正しており、修正パッチなどのリリースは行っていない(以前あったことはあるが)。だから日本語版のリリースをすることがとても重要である。

日本語プロジェクトの機能について。

OpenOffice.org日本語プロジェクトの機能で重要なものに「どこからか」出てくる日本語版のリリース候補の品質保証をし、そして、リリース許可、アナウンスを行うというものがある。何も日本版に限ったわけではなく、3.2.0リリース候補5が公式化されるプロセスを見ると、英語版、ドイツ語版、フランス語版、PowerPCLinux版なども品質保証をへて、リリースされていることがわかる。プロセスとしても定義されている。
> Each Localization team or Native-Language project should,
> regardless of its resources, time and manpower,
> run some QA (Quality Assurance) tests on its localized builds.

誰が行うか? jaでは誰でも参加できる。みなボランティアである。テスターも優秀になってきるが、プロフェッショナルと思える人は少ない。テストもかなりぬるいことをやっている。


リリース品質保証の状況

グッデイ榎さんのアナウンスを見よう(これは私も二年ほどやった)。OpenOffice.orgはリリースを細かく行うことで、アップデートパッチの提供はしていない。例えば、3.2.0がリリースされたら、セキュリティーチームから、3.2.0でセキュリティ脆弱性についての情報を公開する(もちろん私は事前に知っているが口外できない)。先にも述べたが、また、リリース品質保証(この言葉も私が定義した)わたしからグッデイ榎さんになり、(見習い修了)相当安定したが、やはりリソースは足りてないといわざるをえない。

いまのままで、官公庁で、企業で、使うのは危険だということ。

3点ある。1点目セキュリティ脆弱性を修正したバージョン(先にも述べたがほぼ毎リリース、現在のところパッチは提供されず、リリースを細かくしている。)を日本語プロジェクトが毎回、タイムリーにリリースできるとは限らないからである。2点目。セキュリティ警告などの提供は、日本語プロジェクトが公式に行うべきであるが、それがタイムリーに行えてないこと。3点目リリース品質保証にセキュリティ脆弱性に関する評価をしていないこと。

確かに榎さんにリリース品質保証担当者になっていただいた後、他のボランティアはさらに頑張っている。何と英語版と同時のリリースもコンスタントになった。私の頃はかなり遅れていたのだ。榎さんはコミュニティに誠意を尽くしているが、非常に重い重い負担を榎さんにかけている。そう、あたりまえのように榎さんにはどんどん仕事が増えている。彼は彼で業務もある。いつ倒れても、日本語プロジェクトとしては補充は効かない。プロジェクトリードである私はQAをコーディネートせねばならない。私ももうこれも二年近くやった。他にもOOoに限っても仕事が山の用にある(他のブログエントリ参照)もう動けないのだ。協力を募る。そもそも、リソースがものすごく細いのだ。

公的機関などで使うためにどういう参加が必要か。

そんなに肩肘はる必要は全くない。

• 一点。まずリリース品質保証に参加し、状況を理解することである。これは誰でもできる。 例:榎さんのアナウンス。
• リリース品質保証のプロセスの改善への協力。参加すれば足りないことだらけだとすぐ分かる。
• リリース品質保証のプロセスにセキュリティ脆弱性への評価をいれる(難しいだろけど)
• セキュリティアラート翻訳への協力。なんと! 未だに日本語プロジェクトでは、榎さんを中心に、ポリシー策定を行っている最中であるし、 セキュリティー速報の日本語訳を行うのに2-4週間もかかっている! ぜひ参加していただきたい。

タイムリーに参加すれば、一体何が起こっているかわかる。さらに、なれればそんなに時間はとらないだろう。

皆さんの参加をお待ちしている。

以上

補遺
会津若松市役所情報政策課からは、目黒純さんが参加してくださいっていて密に連絡をとっている。従って、会津若松市はもし、緊急の場合でも目黒さんを通じてセキュリティ対策が可能である。しかしこれは良い状況ではない。