情報募集!!

SoftEther VPN 2.0 のプログラムは堅牢・安全であると自信を持って言えるが、ソフトウェアというのは人間が書く以上、深刻なバグが含まれている可能性は必ずある。
特にバッファオーバーフローや境界チェック時の整数演算のオーバーフローなどいくつかの特徴的なバグによって任意のコードがリモートから実行されてしまうことが可能であるバグは市販の超有名ソフトでも多数発見されている。


開発者としてできることは、バグの数(特にセキュリティ侵害を引き起こすバグ)を 0 にすることではなく、0 に限りなく近づける努力を続けることである。


Linux 等のソースコードが容易に入手できるソフトウェアであれば、多くの AC な人がコードをチェックしてバッファオーバーランの類のバグは発見されやすい。
ソースコードが容易に手に入らない Windows 等のソフトウェアも、超有名であれば多くの AC な人がプロトコル解析を元に色々なデータを投入してみて不正な動作が起きないかどうかチェックして、変な動きをしたらそこを糸口に深刻なバグを見つけ出すということもよくあるだろうし、たぶん Microsoft は自社内だけではなく外部のセキュリティ専門会社に大金を払って NDA を結んでもらって常にコードをチェックする努力を行っているものと推測できる。
(こういうチェックはある程度特徴的なものは自動化ツールで発見できるが、最終的にはプログラミングの知識がある者が人力でコードを監査しないと発見できないものがある)


だが SoftEther VPN 2.0 はソースは非公開であるし、まだ零細ベンチャーなので、MS が頼んでいるような外部の会社に大金を払ってコードの監査をしてもらうということもできない。


そこで、(できれば国内で、ソフトイーサ社が支払えるくらいの小額でも引き受けていただけて)ソースコードをNDA付きで渡せば、クラッシュや特権昇格につながるバグが無いかどうか検査してくれて、あれば報告してくれ、一定期間の調査後にバグか見つからなければその結果を公表してくれるような、AC なサービスをやっている会社は、無いものでしょうか?


海外にはそういうことをどんどんやっているような、スキルの高い専門企業がいくつかあるようなのですが....