ケン・トンプソンのトロイの木馬

http://www.itmedia.co.jp/enterprise/0404/14/epi04.html

思い出せも何も無教養な僕はそもそも知らなかったので調べてみましたが、ケン・トンプソンのハック*1原理的にソースコードを調べても分からない手法。具体的にはコンパイラに仕掛ける罠で、OSやアプリケーションのソースコードがいくら安全でもコンパイラがバイナリに不正なコードを埋め込んでしまうわけです。元のソースコードがオープンだろうがクローズドだろうが無関係です。

とはいえ誰も彼の書いたCコンパイラのソースをチェックできなかったのかという話はあるのだけど、BSD 以前の話なのでそのソースがどこまで流通していたかは不明。少なくともバザール方式のオープンソースとはあまり関係ない話かと。

参照:

(追記) セキュリティコンサルタントの中妻さんより ISO/IEC15408 の EAL (セキュリティ評価保証レベル)について解説(id:Jota:20040416#p5)。どうも僕の認識がズレてたようで、Green Hills Software (GHS) の主張の本筋はバザール方式の分散開発体制で「手順」が守られた事を「保証」できるのか、ということのようです(それにしてもミスリーディングな書き方だと思いましたが)。

これはまだクリアできていない問題だと、組み込み用 Linux を開発している LynuxWorks の CEO, Dr. Inder Singh も過去に認めていた模様。

http://linuxdevices.com/articles/AT9772358064.html

ちなみに GHS に対する直接の反論もありました。

http://www.groklaw.net/article.php?story=20040411073918151

なお GHS もリアルタイム OS の開発元で、LynuxWorks とはライバル同士の関係です。


*1:トロイの木馬を仕掛けたことではなくそれを可能にした技術を指しています。