脆弱性スキャンツール『Nessus』、次期版より GPL 適用外に

オープンソース ソフトウェアの開発プロセスは、ユーザーの十分な貢献が前提で、結果として全ての人が恩恵を受けるという考え方に基づいている。

しかし、こうしたプロセスが必ずしもうまく機能するとはかぎらない。

それを示す一例が、Nessus Project の脆弱性スキャンツール『Nessus』だ。Nessus は次期バージョンで、 GNU 一般公的使用許諾契約 (GPL) の適用を止める。Nessus は、7万5000以上もの企業および組織で広く利用されている人気ツールで、ネットワークの脆弱性検知を支援する。

Nessus Project が発足したのは1998年のことだった。同プロジェクトを立ち上げた Renaud Deraison 氏は、2002年に Tenable Network Security を創設した。以来 Nessus Project は、同社支援のもとで活動している。

Deraison 氏は、次期バージョン『Nessus 3.0』を数週間以内にリリースすると発表し、さらに新版でも無料提供は続けるが、GPL ライセンスでは提供しないことを明らかにした。現在 GPL ライセンスに基づいて提供している現行の『Nessus 2.0』については、今後も引き続き GPL のもとで、バグ修正を行なうという。

GPL ライセンスを適用しない Nessus 3.0 系列は、従来版に比べて大幅に改良と機能強化を行ない、「Nessus 2.0 よりかなり高速で、使用リソースは少なくて済む」という。

Nessus の新版が GPL の適用を止める理由の中には、従来オープンソース支持者が主張してきた GPL ライセンスの強み、すなわちコミュニティ開発と、誰でも再利用ならびに再配布が可能とするコードの「自由」という2つが問題となっている。

Deraison 氏はメーリングリストで、次のような投稿を行なった。「この6年の間、実質的に誰も Nessus のスキャニング エンジン改良に貢献しなかった」

同氏はまた、GPL そのものについても言及し、個人的見解として、GPL は自分の会社にとって、競争力を高める最良の選択肢ではないと述べた。

Deraison 氏はメーリングリストで、次のように書いている。「多くの企業が、GPL の穴を突き、われわれの意図に反して (Nessus の) ソースコードを利用したアプライアンス製品を販売したりレンタルしている。その意味では、われわれは自らの競合相手に手を貸していたと言える。そして、そうしたことには終止符を打とうと考えた。Nessus 3.0 はエンジンを改良している。その改良した Nessus のエンジンを利用して、競合相手に『わが社の』スキャナの性能を強化しました、などと言われたくない」