パスワードを忘れた? アカウント作成
12568367 story
オープンソース

オープンソース化は品質を保証するものではない 63

ストーリー by headless
品質 部門より
taraiok 曰く、

ハッカーによるジープの遠隔操作問題や、フォルクスワーゲンの排気ガス試験不正問題について、ソフトウェアのオープンソース化を義務付けることで解決できると主張する専門家もいる。しかし、この考えに対してBen Cotton氏は疑問を呈している(OpenSource.comの記事Slashdotの記事)。

オープンソースでも意図しないバグが発見されずに存在し続けることはHeartbleedShellshockの脆弱性で明らかになっている。オープンソース化によるソフトウェアの公開精査には明確なメリットがあるが、コードの可視性は品質を保証するものではないとのことだ。

ただし、オープンソース化により実際に動作しているソースコードの内容を確認する手段が得られることは、自動車がオープンシステムとなり、携帯電話やモバイルインターネットサービスに接続するようになっていくにつれ重要性を増していくとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年11月01日 16時24分 (#2910164)

    例の不正をやるフォルクスワーゲンなら公開するソースと実際の自動車に搭載するバイナリは別のものになる。

    • by Anonymous Coward

      オープンソース化の議論をするなら、公開するソースと実際の自動車に搭載するバイナリが同一のものであるということを保証する手段の議論とセットじゃないといけないでしょうね。

  • 世界に何人もいないだろう。そいつらが21世紀の貴族主義を築いていくのだ。

    • by Anonymous Coward

      世界中の人々が労働時間の9割を自分が持ってる製品のソース検証に費やす社会が来るかもしれませんよ

  • by mtdra (35226) on 2015年11月01日 15時13分 (#2910144) 日記

    オープンソースという括りが先ずもって大きすぎる。
    玉石混交すぎてそのかなには見つかる脆弱性も見つからない脆弱性もある。

    見つかる条件の一つだろうけど、ほかにも利害関係や人気とかいろいろ理由が考え付く。
    そういうものと同レベルで有効というならわかるが。

    • by Anonymous Coward

      社会的立場や社会からの信頼に価値を見いだしている個人もしくは集団が、その価値の担保としてソースコードを公開するときなら、まあ有効?

  • 「オープンでも意図せぬバグはわからない」ってそりゃあ、
    ソース見れるだけでわかるバグなら開発者が直すでしょ。

    クローズドな方が脆弱性がバレないという意見もはたしてどうですかね。
    今時はコード解析よりファジングの方が一般的でしょうし。

    • 「何か問題があった時にソースを調べることができる」は確実(のハズ)ですが、
      「ソースを調べれば問題点が分る」は確実ではないですもんね

      --
      ぽぇんぷしゅう。
      親コメント
    • ソース見れるだけでわかるバグなら開発者が直すでしょ。

      えっ!?
      # 政治上・商売上の都合でわかっていても直せない(直させてもらえない)バグというのもあるのです…
      ## OSSの話ではありません

      親コメント
      • by Anonymous Coward

        そういう意図をもった処理なら、それはもうバグでなく仕様でしょう。
        # 茶々にマジレス

    • by Anonymous Coward

      いや、コードを見れば一瞬でわかるような条件分岐をやってたのを、何年にもわたる検査と巨額の研究費でみつけたわけだから、その反論はおかしい。

      • by Anonymous Coward

        >コードを見れば一瞬でわかるような条件分岐
        これと、

        >何年にもわたる検査と巨額の研究費
        これのソースを希望。
        VWの件だとしたら、後者はそれほど時間かかってないよ。内容からして、費用も大してかかってなさそう。
        前者はまだ公表されてない。

      • by Anonymous Coward

        それってバグじゃなくて、タイトルにあるような「作為的なバックドア」でしょ?
        オープンだったら「コードを見れば一瞬で」バレるんだから、それだけでも良しとすべきって話でしょ?

        「作為的でない、意図せぬバグはオープンにしたって見つけにくい」という記事の反論に対して
        「そんなの当たり前じゃん」と突っ込んでるだけでしょ?

        何だか全く噛み合ってないんですが。

  • by Anonymous Coward on 2015年11月01日 16時41分 (#2910168)

    オープンソース化は品質を保証するものではないって、そんな当たり前のことはみんな分かってるよね。
    品質を保証するのは、検証にどれだけコストをかけるか。
    排ガス不正の件だって、走行時の排ガス検査はコストがかかるからやらなかっただけで、調べれば簡単に分かったこと。
    コードを検証するにしたって、オープンソースにする必要は無く、検査機関の要望に応じて開示する仕組みがあれば良いでしょう。

    オープンソースにすれば品質が上がるって幻想も、車のソフトをスマホ/PCと似たものだと誤解してるから発生するのかな。
    スマホ/PCはCPUで動くコードはオープンソースになっても、その先のセンサやマイコンの仕様/コードはオープンにならないよね。
    車ではCPUよりも、その先のセンサやマイコンの機能・割合が大きいので、CPUのコードをオープンソースにしたって品質が上がる割合がとても小さい。

    センサ等の部品も全部オープンソースにしろって? 部品作る側にメリットが無いと無理でしょう。
    オープンソースが成功してるのは、作る側にも再利用できるメリットがある分野だけであって、自分たち以外にコード書いてくれない部品をオープンソースにする意味が無いです。

    • by Anonymous Coward

      いやいや分かってない人は物凄く多いから。
      狂信的にオープンソースを支持する人などはオープンソースであることは安全かつ高品質であると本気で思い込んでいる

      • by Anonymous Coward

        誰を相手に戦ってるの?10年前からタイムスリップしてきたの?

        オープンソースに関わる大多数の人は、オープンソースソフトウェアにもバグがあることを知っている。
        だって、いろんなオープンソースプロジェクトのバグ登録システムには、多数のバグが登録されてて、
        プロジェクトの関係者はその解決に取り組んでるんだもん。

        • by Anonymous Coward

          つまり、狂信的にオープンソースを支持する人は、オープンソースに関わっていない、ということですね。

    • by Anonymous Coward

      オープンソース化は品質を保証するものではないって、そんな当たり前のことはみんな分かってるよね。

      #2910160 [opensource.srad.jp]みたいに、分かってない人はやっぱりいる。
      「○○はオープンソースだから□□より安全」は飛躍し過ぎであり、そのように論じるべきではないという老婆心に満ちた忠告が
      いまひとつ理解できないのはこのACばかりではないだろうね。

    • by Anonymous Coward

      オープンソース化は品質を保証するものではないって、そんな当たり前のことはみんな分かってるよね。

      スラドは分かって無い奴の巣窟だと思ってる。

    • by Anonymous Coward

      問題は、タレこみにもあるように、

      > ソフトウェアのオープンソース化を義務付けることで解決できると主張する専門家もいる。

      というような、専門家気取りの素人、イデオロギー的にオプソを推進したい輩が嘘を広めていること。

  • by Anonymous Coward on 2015年11月01日 17時26分 (#2910188)

    オープンソースだって、利用法が下手ならかえって危険。

    • by Anonymous Coward

      アンドロはメーカー・キャリアが管理者であるという問題なのであって
      オプソの問題ではないだろ

      ルート取らないとキーアサインも書き換えられない有様で確かに不便だが
      じゃあエンドユーザーがみんな管理者権限持ってても安全かというとそうでもないな、みたいな

  • by Anonymous Coward on 2015年11月01日 15時47分 (#2910155)

    オプソを義務付ければ検査をすり抜けるようなソフトウェアはすぐ露見するだろ。
    まずそれじゃないのか?

    • by Anonymous Coward on 2015年11月01日 16時04分 (#2910161)

      露見はするが、すぐではないと思うよ。

      親コメント
      • by Anonymous Coward

        でも、露見するじゃん。
        方法の1つではある。

      • by Anonymous Coward

        露見もするわけがない。

        公開されたものが、使われてるものと等しいことを、
        第三者は保証できない。

        そして仮に使われているものが本当に公開されているとして、
        閾値とかのパラメータをソース中にハードコートされているわけがない。

        • by Anonymous Coward

          そのソースからビルドしてインストールするだろ
          検査なんだから

    • by Anonymous Coward

      そもそもWIんどwsですら、金払えばソース見られるのに
      今時なんの意味が
      そんなチェックするようなやつならかねだしてでもやるだろうに

    • by Anonymous Coward

      露見だけなら結果検証で十分なのでは?
       
      オープンショースの利点は第三者による
      メンテナンスができることなんじゃないんですかね
      露見を論点としている時点で的を射ていないかも
       
      ドライバの先の回路でどう扱われるかを
      データシートなしでソースだけ見てエスパーするのはしんどいよ

  • by Anonymous Coward on 2015年11月01日 15時57分 (#2910159)

    オープンソースで公開したからって、わざわざ面倒なデバッグをする人は少ないよ。
    自分が使う機能についてはチェックするけど、使わない機能については動かしもしないし、何か発見したからって関係ない機能についてはわざわざ報告までするのも面倒なんだよね。

    すべての機能に問題がないことを保証するような、そんなテスト要員なんてお金もらってもやりたがる人が少ないだろうに
    それを無償でやるわけないよ。

    • by Anonymous Coward

      商用のオープンソースソフトウェアはそれなりにデバッグされてますね。
      //個人で開発しているソフトのシェアなんてたかが知れているので(例外はある)脆弱性があっても問題ない

  • by Anonymous Coward on 2015年11月01日 16時01分 (#2910160)

    最近こういうの多いですね。

    Appleに代表されるプロプラ独裁大好き企業がカネ出してるんでしょうけど、
    「とはいえクローズドよりはオープンソースのほうが安全にはなるだろう」という指標は立ちます。
    これが重要ということを切り捨ててるまさに詐欺極論です。

    • by Anonymous Coward

      >「とはいえクローズドよりはオープンソースのほうが安全にはなるだろう」という指標は立ちます。
      それでも行き過ぎじゃないかな。

      「クローズドよりはオープンソースのほうが問題が有るか手元で確認が可能にはなるだろう」位。
      もしくは、「とはいえクローズドよりはオープンソースのほうが安全にする事が容易に可能」でしょう。

      手元にソースが有れば原因を容易に確認できる。
      プロプラでも、契約でソースコードにアクセス可能ならそれで足りてしまうメリットですね。
      自分以外の第三者にも公開されているなら、利用前に専門家に確認してもらわないと、静的解析で見つかるような酷い

      • by Anonymous Coward

        パソコンであれば兎も角、自動車とかそんな分野まで同じ事が言えるんだろうか。

        果たして「オープンソースだから安全」と皆が自分でビルドした制御ソフトをいれるか?バカバカしい。そんなことができる人間は一握りだ。
        ましてやわざわざソースコードとして公開されてるものと、自分の車に導入されてるものが同じかどうか調べるのだって簡単じゃない。

        # 更に言うなら誰でも自動車の制御ソフトを読み書きできるなら、今度はそれを使った犯罪のリスクが上がると思うんだが
        # ソースだけオープンにしても製品にインストールされてるのがそれと同じか検証できなければオープンソースである意味はないし

        • by Anonymous Coward

          > 今度はそれを使った犯罪のリスクが上がると思うんだが

          だよねぇ
          公開して安全!となるよりも公開して馬鹿が事件を引き起こす危険性のほうが遥かに高いと思うわ

        • by Anonymous Coward

          勝手にユーザが改変したソフトで動く車…車検通らなそうですね。
          車検通ったとしても、保険料いくらになるんだろう。
          リスク想定できないし、通常の10倍でもきかなそう。無保険で乗るんだろうか。

    • by Anonymous Coward

      コードが誰でも見られることのメリットは大きいですよね
      品質を保証するものではなくても
      というか
      品質が可視化されるというのが最大のメリットかも
      スパゲッティコードに命預けるのはごめんですからね
      Mozillaなんて寄贈されたコードの大半が廃棄されたんですよね
      糞コードやコミュニティの荒れてるソフトには近づかなければいいだけの話
      オプソなら安全なんじゃなくて
      オプソなら見た目で、特に開発コミュニティの空気で、危険を察知出来るということだろ

  • by Anonymous Coward on 2015年11月01日 17時40分 (#2910192)

    挙動の怪しいところはやっぱりお気軽には手直しできないクソコードが絡み合ったジャングルとなってる
    マーフィーの法則

  • by Anonymous Coward on 2015年11月01日 18時59分 (#2910212)

    もうビジネスモデルも崩れて維持できなくなっているように見える

    • by Anonymous Coward

      個人向けは儲からないが企業向けならまだまだ儲かるのでソースコードを開示する意味はないでしょう。

    • by Anonymous Coward

      Windowsは何だかんだで環境が統一されているのが長所の一つだと思うので…。オープンソース化することで、ハードメーカー単位のカスタマイズがはやったり、Ubuntu VS Mintのようなプロジェクト分裂が起こるようになると、かえってWindowsの長所を殺してしまうような…。

  • by Anonymous Coward on 2015年11月01日 19時06分 (#2910218)

    オープンソースでも意図しないバグが発見されずに存在し続けることはHeartbleedやShellshockの脆弱性で明らかになっている。

    こういう適当なサンプリングは、まったくもって勘弁してほしいものです。
    なるほど、Heartbleedや、Shellshockといったバグが存在し続けたのは事実ですし。
    セキュリティの高さで有名な、かのOpenBSDでさえSynFloodに対する何の備えも持っていなかったという事実も有名ですね。
    しかしながら、そんなことは大した問題じゃないわけですよ。

    どうして大した問題じゃないかというと、例えばInterBaseがオープンソース化した際に脆弱性が発見されましたね?
    誰でもリモートからあらゆるインスタンスに対し、特権モードでアクセスできるというとんでもない大穴が発見されたわけです。
    そう、GoogleやAppleが人様のデバイスのアプリを勝手に削除したりできるのと同様のものが、遥か昔からInterBaseには存在していたわけですよ。
    それをInterBaseからFireBirdへとオープンソース化する際にそれもそのまま公開してしまった。
    プロプラエタリソフトってのはこういうもんです。
    これが現実。

    むしろオプソもプロプラも大して変わらんと、HeartbleedやShellshockの件を持ち出して叩くのならば。
    未だにStagefrightパッチさえ当たってないどころか、アップデートすら放置されたAndroid端末がわんさかあるのは、一体全体どういうわけです?
    Heartbleedの時も、Shellshockの時も、Stagefrightの時も、オプソの連中は即座に対応しましたよ。

    「コードの可視性は品質を保証するものではない」などと嘯いてる間にとっとと対応してあげたらどうなんです?

    • by Anonymous Coward

      andoroidはオープンソースです。そこのところを間違えないようにお願いします。

    • by Anonymous Coward

      Androidはオープンソースなのにどうして即座に対応されないの?
      だからここではオープンソース化さえすれば何とかなるというお花畑な意見が批判されてるんでしょ

    • by Anonymous Coward

      公開したからって見つかるとは限らん、という話をしているのに「見つかった後は即座に対応しましたよ」とか反論にすらなっていない

    • by Anonymous Coward

      2chだとこのくらいの騙り煽りはもう効かなくなってるんだけど、ここでならまだ有効と思って書いてるんだろうね。
      あまり効いてないみたいだから他でやった方が良いと思うよ

  • by Anonymous Coward on 2015年11月02日 10時39分 (#2910424)

    ・布教の時には「皆がソースを見るので品質も高く安全だ」と謳う
    ・それが機能していないことを指摘されると「品質を高めたりセキュリティを高めるため仕組みではない」とする

    ネット上での別人格等、多目に見て、別人が言ってるのだろうけど、どちらかの見解に統一されないものかねぇ

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...