アカウント名:
パスワード:
人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか
ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
それに仮に監査をしたからと言って、それはその時点での特定の条件の確認でしかない。その後の開発でデグレってないか、未知の攻撃手法に耐えられるかまで確認しているわけではない。
で、それを前提にしてだけど・・・そもそもソースが公開されていれば安全だなんて冗談はど
> ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。> オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
その通りだと思います。オープンソースでもクローズドソースでも、セキュリティの観点で開発・テストを真っ当に行っていれば、お粗末なセキュリティーの問題はまず発生しない。
クローズソースなら、ソースが開示されていないので問題が無いかと言えば、国家機密に関わるなど攻撃する価値があれば狙われる。狙われにくいものがあるとしたら、クローズドなシステムであってオープンソースかクローズドソースかは関係ない。
セキュリティーの担保を誰が取るのか?というと、それでビジネスをする企業が出資して、実現するといった流れみたいですね。
http://osdn.jp/magazine/14/04/25/150000 [osdn.jp]Linux Foundationが富士通、Google、Microsoftらとオープンソースプロジェクト向け基金を設立、まずはOpenSSLを支援へ
> # 最近オープンソースソフトウェアで発生したセキュリティー問題は、> # すべて一般大衆に認知されているというってホントですか?
実のところ、大衆の眼に晒されていて、認知されるのは機能バグであって、セキュリティー問題が認知されるというのは、誰が言い出したのかは分かりませんが、希望的な拡大解釈だったことが、ようやく認知されてきたという事でしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
信頼だけでセキュリティは確保出来ない (スコア:0)
ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。
オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
それに仮に監査をしたからと言って、それはその時点での特定の条件の確認でしかない。
その後の開発でデグレってないか、未知の攻撃手法に耐えられるかまで確認しているわけではない。
で、それを前提にしてだけど・・・
そもそもソースが公開されていれば安全だなんて冗談はど
Re:信頼だけでセキュリティは確保出来ない (スコア:2)
> ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。
> オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
その通りだと思います。
オープンソースでもクローズドソースでも、セキュリティの観点で開発・テストを
真っ当に行っていれば、お粗末なセキュリティーの問題はまず発生しない。
クローズソースなら、ソースが開示されていないので問題が無いかと言えば、
国家機密に関わるなど攻撃する価値があれば狙われる。
狙われにくいものがあるとしたら、クローズドなシステムであってオープンソースかクローズドソースかは関係ない。
セキュリティーの担保を誰が取るのか?というと、それでビジネスをする企業が出資して、
実現するといった流れみたいですね。
http://osdn.jp/magazine/14/04/25/150000 [osdn.jp]
Linux Foundationが富士通、Google、Microsoftらとオープンソースプロジェクト向け基金を設立、まずはOpenSSLを支援へ
> # 最近オープンソースソフトウェアで発生したセキュリティー問題は、
> # すべて一般大衆に認知されているというってホントですか?
実のところ、大衆の眼に晒されていて、認知されるのは機能バグであって、
セキュリティー問題が認知されるというのは、誰が言い出したのかは分かりませんが、
希望的な拡大解釈だったことが、ようやく認知されてきたという事でしょう。