中田さん、平野さん、グッディ榎さん、そしてOOojaの皆さん
ニュージーランドのSamと申します。あまり存じない方も多いでしょうが、実際は以前からOOojaをも含み、いくつかのFLOSS活動をやってきました。
OOojaではほとんどの場合は様子見でしたが、今回平野さんのこの「セキュリティ情報の扱いの再検討」を機に声を上げておきます。
以前からFLOSSをやってきたと書きましたが、OOojaでは翻訳、特にセキュリティ関連の訳をしてきました。
どんなに機能的に素晴らしいソフトウェアでも安全性の脆弱性があれば潜在的に大きな問題になりうるし、それらの情報が不透明であれば皆も不審に思い、せっかくのFLOSSも無駄になりかねないからです。
OpenBSDプロジェクトみたいにコードをセキュリティホールがないかを全てに最優先して監査しろとまでは言いませんが、少なくともアナウンスされたセキュリティ脆弱性の情報はいち早く対応して皆に知らせるべきです。
そう思ったからこそ、translate@OOojaでグッディ榎さんが2010年7月16日[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=6778]
に「Webの脆弱性情報の翻訳と掲載」を呼び掛けた時には同日にて真っ先に引き受けました[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=6792]。
「補完のため、遡っていく」とのこと、つまり当時のリリース3.2.1の脆弱性情報だけではなく、Security Bulletin [
http://www.openoffice.org/security/bulletin.html]
に掲載されている2.0.3から3.2.1まで全ての脆弱性情報を訳するとのことなので、少し時間がかかりましたがなんとか2010年9月6日、即ち榎さんの呼び掛けから約一ヶ月半後に察読をも含め全て片付きました[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=6972]。
平野さんは「1月28日Security Bulletinに告知されたOpenOffice.org
3.3のセキュリティフィクス情報がたくさんある」と仰ってましたが[
http://ja.openoffice.org/servlets/ReadMsg?list=qamsgNo=3384]
これらと比べたら3.3の9個なんてまだカワイイ方ですよ。
ところがどうでしょうか。榎さんはインターンシップでしばらく動けないと仰り、9月中にまとめたいと仰りました[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=6976]。
そして2010年9月30日にはその約束が守れず、10/2-10/3の予定で進めると仰りました[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=7081]。
が、10月6日中田さんの疑問のとおり、その日までは榎さんからは何も伝えられませんでした[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=7146]。
そしてそれから二週間が経ち、中田さんがついに10月20日に7月中旬の依頼からこれまでの放置を指摘[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=7207]。
何故か中田さんの指摘した同じ日か翌日ではなく、3日後の10月23日にやっと榎さんから連絡が。お詫び、そして翻訳PJのMLで翻訳内容で気になっている点をコメントするとのこと[
http://ja.openoffice.org/servlets/ReadMsg?list=discussmsgNo=18962]。
が、やはりというか、いつもの通り次の数日間そのようなコメントらしきものはメーリングリストには見当たらず、あるのは中田さんとグッデイ榎さんの間の、信頼関係についての指摘とあまり意味のないワケの分からないお詫びだけ[
http://ja.openoffice.org/servlets/ReadMsg?list=discussmsgNo=18963、http://ja.openoffice.org/servlets/ReadMsg?list=discussmsgNo=18964、http://ja.openoffice.org/servlets/ReadMsg?list=discussmsgNo=18965
]。
で、このあと皆諦めたのか忘れたのか、脆弱性情報について二度と言及されませんでした。正直、私自身も今までその気になればいくらでもその場で反発することができてました。これについては誰よりも十二分その資格がありますから、たとえいきり立っても誰も文句は言えません。
が、実際こう立派な裏切りを何度かもされると、OOojaの字引にはセキュリティという文字が無い、選択的に付き合わされてるのでは、日本人でもなければ日本にもいないからこういう日本人向けプロジェクトでは外人は無視られているのでは、と思わされる。
実際、Rubyプロジェクトでも日本発だから日本人以外のcontributorがいろんな原因で減っているらしいが、それと似たようなものなのかと。
まぁこの世や他の人の為のFLOSS活動ならOOojaの他にも本来自分が関わってるPCBSDや他にもいくらでもあるから、別にOOojaにそう投入しなくてもいいし。
元々日本人でもないからOOojaの日本語訳やセキュリティ情報どころか、OOoja自体すら自分とは関係ないんだし。ならばOOojaなど放っとけ、と。で、ずっと様子見してました。
そして最近になりあの難産の3.3がなんとかリリースされ、その直後の1月28日に3.3で修正されたセキュリティ脆弱性情報もアナウンスされました。
脆弱性重視というかセキュリティにややうるさい癖(?)から自分でそれを即座に和訳しましたが、OOojaではやはり脆弱性の話題がありませんでした。榎さんから頼まれてはや半年過ぎ。どうせまた無視るんだろうなと思い、OOojaはパス。
そして何も知らない、OOoのセキュリティ情報をお探しの企業やユーザは多分OOojaやOOo本家ではなくGoogleかサーチエンジンとかで探すんだろうなと思い、3.3脆弱性情報を私自分のブログに載せました。
原文のアナウンスとほぼ同期に。実際に見にくる人がいるかどうかは別にどうでもいいが。
そして一週間後の2月4日に平野さんがセキュリティ情報翻訳の話を持ち出したのを見て[
http://ja.openoffice.org/servlets/ReadMsg?list=qamsgNo=3384]正直、何を今更と思いました。
更には同メールに平野さんがセキュリティ情報翻訳担当者は誰だったのかという質問に対して「は??」と思いました[
http://ja.openoffice.org/servlets/ReadMsg?list=qamsgNo=3387]。
そんなもの存在した覚えがない…。
本当はいる[http://ja.openoffice.org/servlets/ReadMsg?list=qamsgNo=3386]
と読んだときは思わず「何?!」って声がでました。
就任合意書らしきものがMLに出回った覚えが無く、グッデイ榎さんはセキュリティ情報担当者なのか否なのか曖昧なので多分本当は榎さんはセキュリティ情報担当ではないのでは、と最初はそう思って一瞬少しだけ納得してました。
しかしかといえ、「榎さんから」セキュリティ和訳を頼まれたのは確かなので、私から見ればグッデイ榎さんがセキュリティ担当か否かとはどうあれ、やはり頂けない。
それに3.2.1では英文セキュリティ情報がsecurity-alerts@OOoにアナウンスされた後の一時間以内に私が和訳してそれをqa
@OOojaとtranslate@OOojaに流し、榎さんが即座これに用語の統一性を保つために修正を加え[
http://ja.openoffice.org/servlets/ReadMsg?list=qamsgNo=2578]、wiki
にアップロードしました[http://ja.openoffice.org/security/index.html]。
OOojaのセキュリティ情報ページには3.2.1しか無いと言うかほぼ空[
http://ja.openoffice.org/security/index.html]、
そして3.2.1和訳に至っても今でも「参考訳」という文字が付いているため[
http://ja.openoffice.org/security/cves/CVE-2009-3555.html][http://ja.openoffice.org/security/cves/CVE-2010-0395.html]、
普通の人や企業がみればこのOOojaにある訳された情報って何かと頼りなさそうでどこまでアテにしていいのか、と思われると思いますが、それはさておき、
少なくともこれらの現状から見れば榎さんが実質上セキュリティ担当であったことは確かでしょう。
で、中田さんからは私信で今まで私のcontributionをうまく処理できず申し訳ないとの旨を頂き、そしてセキュリティ情報担当者の興味ないかと先日尋ねてきたわけです。
中田さんはOOojaリードとして非常に申し訳なく思っていらっしゃられるが、これはコーディネーターの問題であって中田さんの問題ではない。
第一、中田さんは研究者でありどの社会人と同じく多忙にもかかわらず、OOojaだけではなくFreeBSD-OO.oやその他FLOSSにも多大な貢献をもたらしているのは承知してる。
巷の口先だけの連中ではなく、親身実行する人間をこんなことで咎めるわけにはいきませんので、中田さんお気になさらずに。
しかしここはいままでについてグッデイの人間に説明して欲しいですね。一体全体どうしてこうなったのか、を。
そういえば以前2010年10月8日、当時の翻訳プロジェクトコーディネーターであるグッディ大槻さんに指定され[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=7158]、
中田さんにもなるべく早く[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=7161]と仰られた3.3
Feature Freezeの和訳も次の日に終わらせ[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=7168]、
そして査読も数日後に終わった[
http://ja.openoffice.org/servlets/ReadMsg?list=translatemsgNo=7171]にも関わらず、
難産と言われた3.3がなんとかリリースされた今でもやはり放置状態。
丁度インターンシップ事件での大槻さんのあの事情ですからこれは仕方ないですが、とはいえ同じくグッディ社の人間である榎さんも同じくほとんど音信皆無。
このコーディネータのお二人ともたまたまグッデイの人間であってグッディ社自体とは関係ないのでしょうけど、
このままではグッデイ社どころか、似たような事がまた起ればOOojaやせっかくのFLOSS自体や日本にも更に悪影響が及ぼすのは必然です。
