某ソースコードのセキュリティ監査

木曜の夜・金曜の夜、徹夜で精密検査。
目を皿のようにして確かめたが、特に不審な点はなし。
でも規模が規模だけに完全性を保証できるくらいにはあと数日必要か。でも流石にそのままじゃ気持ち悪いから自分で書き直すか。
また休日が潰れた(もうすぐ夏休みだから良いけど…)

よく考えたら (よく考えなくてもわかるけど)

一般論として、ソフトウェアの開発元が、「このソフトは安全です。裏口 (backdoor) も脆弱性もありませんよ!」っていくら主張しても、実際に一般ユーザーがそのソースコードを見ることは不可能なのだから、結局は本当に安全なのかどうかわからないのだろうか。
昔、Windows NT に NSAKEY 疑惑というのがあった。詳細: http://www.jiten.com/dicmi/docs/n/8588.htm

オープンソースにすることなく、この問題をある程度解決するには、Microsoft のようにシェアードソース制度を取り入れるべきだろうか。この制度だと、ユーザーが開発元とNDAを結んでソースコードを閲覧し、問題が無いかどうか(一応は)確認できることになっている。ただし、問題があってもそれを第三者に漏らすことはできないのだが、自社での導入を控える判断材料にはできるのだろう。
安全性をある程度保証する良い方法だと思うが...。
※ ちなみに、Microsoft のシェアードソースでも、Windowsソースコードのうち Crypto API の部分だけはなぜか開示されないという噂がある。あくまで噂。