アカウント名:
パスワード:
そんな神話は最初からなかった
安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、その実態をどのように公開するか?の道筋がわからん。
どこにレスつけようかと思ったけど、ここに。>安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
ですね。そもそも「オープンソースに危険性がない、ぜい弱性がない」っていう話ではない。
プロプラに脆弱性があった場合 「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社がなくなってればどうしようもない。」
オープンソース「基本的に公開される。パッチは基本すぐに作られる(テスト不足であっても。)。 誰
オープンソースだとソースから脆弱性を発見されるってリスクもあります。
クローズソースならトライアンドエラーで穴探しするしかないわけで。(バイナリから探すってレベルだとどっちも同じなので除くとして)
問題が既知になってから修正されない危険度合いはオープンソースのが確実に低いですけども時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
>時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。この認識自体が間違い。
「その既知のぜい弱性に対する開発の時間が遅い(アクティブさがたりない、動かない)と思えば、自分でそこの部分は自分の気に入る速度で修正しろ。そうすれば自分のとこは自分の気に入るように常に安全だ。(いつでも塞げるから安全性は高い)」
それがオープンソースでしょ。 その前提を無視して「パッケージングされたディストリ」そのもので比べるからおかしい。
パッケージングされたディストリのみで比べるならプロプラもオープンソースも対して変わらん。
と言う事で、結局は元レスの様に開発のアクティブさ次第(自分も含む。自分がメンテする気が無い?それは知らん)って話だったりする訳でして・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
オープンソースの方が安全 (スコア:5, すばらしい洞察)
そんな神話は最初からなかった
Re: (スコア:0)
安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、その実態をどのように公開するか?の道筋がわからん。
Re: (スコア:3, 興味深い)
どこにレスつけようかと思ったけど、ここに。
>安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
ですね。
そもそも「オープンソースに危険性がない、ぜい弱性がない」っていう話ではない。
プロプラに脆弱性があった場合
「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、
そもそも会社がなくなってればどうしようもない。」
オープンソース
「基本的に公開される。パッチは基本すぐに作られる(テスト不足であっても。)。 誰
Re:オープンソースの方が安全 (スコア:2, 興味深い)
オープンソースだとソースから脆弱性を発見されるってリスクもあります。
クローズソースならトライアンドエラーで穴探しするしかないわけで。
(バイナリから探すってレベルだとどっちも同じなので除くとして)
問題が既知になってから修正されない危険度合いはオープンソースのが確実に低いですけども
時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
Re:オープンソースの方が安全 (スコア:1)
>時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
この認識自体が間違い。
「その既知のぜい弱性に対する開発の時間が遅い(アクティブさがたりない、動かない)と思えば、
自分でそこの部分は自分の気に入る速度で修正しろ。
そうすれば自分のとこは自分の気に入るように常に安全だ。
(いつでも塞げるから安全性は高い)」
それがオープンソースでしょ。 その前提を無視して「パッケージングされたディストリ」
そのもので比べるからおかしい。
パッケージングされたディストリのみで比べるならプロプラもオープンソースも対して変わらん。
Re: (スコア:0)
と言う事で、結局は元レスの様に開発のアクティブさ次第(自分も含む。自分がメンテする気が無い?それは知らん)って話だったりする訳でして・・・