アカウント名:
パスワード:
人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか
ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
それに仮に監査をしたからと言って、それはその時点での特定の条件の確認でしかない。その後の開発でデグレってないか、未知の攻撃手法に耐えられるかまで確認しているわけではない。
で、それを前提にしてだけど・・・そもそもソースが公開されていれば安全だなんて冗談はど
>そもそもソースが公開されていれば安全だなんて冗談はどこから出てきたんでしょうか?
エリック・レイモンドに言ってやれ
オープンであろうがクローズドであろうが、安全性というレベルでは大して変わらない。ただ、サポート終了後でもオープンソースなら自力でメンテナンス可能だというだけの話だ。
サポート終了後でもオープンソースなら自力でメンテナンス可能だというだけの話だ。
ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.
# 不可能じゃない人間は, 大抵そのことに気づいていない
> ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.同意。ただ、オープンソースならば、少し敷居は低い、対応するソースがある事が担保される。
# 某所で、製品なのに、保存されているソースから同一バイナリができない... なんて。# 逆汗して復活させたけど、今時の規模だときっと無理。
それと、保障期間を過ぎたとき、ソースが破棄されたら、完全に調査不能。オープンソースなら、金払えば、可能性はある、と。# 可能性あるだけで、誰でもなんて言いません。
金払いたくないから(略)フリー=無料扱いの時点でお察し。
そりゃ何がしかの技能を要する多くのことは「大部分の」個人にとっちゃ事実上不可能でしょうが
別にオープンソースでなくても自力でメンテナンス可能ですよ?
ファンタジーやメルヘンじゃあないんですから、ソフトウェアが動作するからにはコードがあり、コードがあればメンテナンスは可能です(署名や暗号化のチェーンがハードウェアのレイヤーから繋がっているなど、例外はありますが)。
そのコードがバイナリ表現かテキスト表現かでメンテナンス出来たり出来なかったりする人はいるでしょうが、それは個人の能力の問題でしかないので。
甘い。GPLv3を作るきっかけのひとつに電子署名済みのバイナリしか受け付けないようにしたハードウェアの存在があります。http://ja.wikipedia.org/wiki/TiVo%E5%8C%96 [wikipedia.org]
UEFIでセキュアブートが必須になる場合も似たような課題があります。今のところ顕在化していないようですが。
ハードウエアを改造すればいいでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
信頼だけでセキュリティは確保出来ない (スコア:0)
ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。
オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
それに仮に監査をしたからと言って、それはその時点での特定の条件の確認でしかない。
その後の開発でデグレってないか、未知の攻撃手法に耐えられるかまで確認しているわけではない。
で、それを前提にしてだけど・・・
そもそもソースが公開されていれば安全だなんて冗談はど
Re: (スコア:1)
>そもそもソースが公開されていれば安全だなんて冗談はどこから出てきたんでしょうか?
エリック・レイモンドに言ってやれ
Re:信頼だけでセキュリティは確保出来ない (スコア:0)
オープンであろうがクローズドであろうが、安全性というレベルでは大して変わらない。ただ、サポート終了後でもオープンソースなら自力でメンテナンス可能だというだけの話だ。
Re:信頼だけでセキュリティは確保出来ない (スコア:2)
ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.
# 不可能じゃない人間は, 大抵そのことに気づいていない
Re: (スコア:0)
> ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.
同意。
ただ、オープンソースならば、少し敷居は低い、対応するソースがある事が担保される。
# 某所で、製品なのに、保存されているソースから同一バイナリができない... なんて。
# 逆汗して復活させたけど、今時の規模だときっと無理。
それと、保障期間を過ぎたとき、ソースが破棄されたら、完全に調査不能。
オープンソースなら、金払えば、可能性はある、と。
# 可能性あるだけで、誰でもなんて言いません。
Re: (スコア:0)
金払いたくないから(略)
フリー=無料扱いの時点でお察し。
Re: (スコア:0)
そりゃ何がしかの技能を要する多くのことは「大部分の」個人にとっちゃ事実上不可能でしょうが
Re: (スコア:0)
別にオープンソースでなくても自力でメンテナンス可能ですよ?
ファンタジーやメルヘンじゃあないんですから、ソフトウェアが動作するからにはコードがあり、コードがあればメンテナンスは可能です(署名や暗号化のチェーンがハードウェアのレイヤーから繋がっているなど、例外はありますが)。
そのコードがバイナリ表現かテキスト表現かでメンテナンス出来たり出来なかったりする人はいるでしょうが、それは個人の能力の問題でしかないので。
Re: (スコア:0)
甘い。GPLv3を作るきっかけのひとつに電子署名済みのバイナリしか受け付けないようにしたハードウェアの存在があります。
http://ja.wikipedia.org/wiki/TiVo%E5%8C%96 [wikipedia.org]
UEFIでセキュアブートが必須になる場合も似たような課題があります。今のところ顕在化していないようですが。
そのコードがバイナリ表現かテキスト表現かでメンテナンス出来たり出来なかったりする人はいるでしょうが、それは個人の能力の問題でしかないので。
Re: (スコア:0)
ハードウエアを改造すればいいでしょ。