アカウント名:
パスワード:
> 人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか。
「オープンソースコミュニティーを信頼するしかない」のは「その製品について勉強しないこと」が大前提の場合。
仮に 1000人に一人が「勉強する」事を決めたとしよう。この場合、勉強することを決めた人は、コミュニティーを信頼する「必要はない」わけだ。
これは別の見方をすると、この1000人は「1/1000 の確率でコミュニティを信頼する必要はない」ということになったといえる。
しかしクローズドソースの場合、10人に一人が「勉強する」事を決めたとしても、結局クローズドソースソフトを創った人たちを信頼するしか無い。つまり「0の確率でソフトを創った人たちを信頼する必要はない」と表現出来る。
完璧なる0と、「ほんの少しでも0.0よりは大きい」のとを同じ扱いにするのは如何なものか、と思う。
勉強がどの程度のものなのかわからないけど、bashやOpenSSLの勉強をしていたであろう人たちがたくさんいただろうにも関わらず何年も見逃されてきた脆弱性が存在していた。
これだけでも「信頼する必要がない」という話には無理があるのでは。勉強したってすべてを見渡せる訳ではない。そもそも脆弱かどうかを勉強する訳でもない。自分がみた部分以外は他の優秀なエンジニアが作業してくれた部分を信頼して使ってるんでしょう。
コードが見れなくたってテストはできる。クローズドソースソフトも問題があるかどうかは第三者が報告できるし、実際に報告されている。
クローズドではグレーとしていまう事象もオープンソースではソースが見れるので改修したり原因まで突き止める余地がある。影響調査や同じような事象のチェックもオープンソースではより多くの目で行われる。そういった違いは間違いなく存在するのだけど、すべてのコードをくまなく見てから使う訳ではないのだからまだ見てない部分は結局信頼するしか無いと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
それは勉強しないこと前提のお話 (スコア:2, 参考になる)
> 人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか。
「オープンソースコミュニティーを信頼するしかない」のは「その製品について勉強しないこと」が大前提の場合。
仮に 1000人に一人が「勉強する」事を決めたとしよう。
この場合、勉強することを決めた人は、コミュニティーを信頼する「必要はない」わけだ。
これは別の見方をすると、この1000人は「1/1000 の確率でコミュニティを信頼する必要はない」ということになったといえる。
しかしクローズドソースの場合、10人に一人が「勉強する」事を決めたとしても、結局クローズドソースソフトを創った人たちを信頼するしか無い。つまり「0の確率でソフトを創った人たちを信頼する必要はない」と表現出来る。
完璧なる0と、「ほんの少しでも0.0よりは大きい」のとを同じ扱いにするのは如何なものか、と思う。
fjの教祖様
Re:それは勉強しないこと前提のお話 (スコア:0)
勉強がどの程度のものなのかわからないけど、bashやOpenSSLの勉強をしていたであろう人たちがたくさんいただろうにも関わらず
何年も見逃されてきた脆弱性が存在していた。
これだけでも「信頼する必要がない」という話には無理があるのでは。
勉強したってすべてを見渡せる訳ではない。そもそも脆弱かどうかを勉強する訳でもない。
自分がみた部分以外は他の優秀なエンジニアが作業してくれた部分を信頼して使ってるんでしょう。
コードが見れなくたってテストはできる。
クローズドソースソフトも問題があるかどうかは第三者が報告できるし、実際に報告されている。
クローズドではグレーとしていまう事象もオープンソースではソースが見れるので改修したり原因まで突き止める余地がある。
影響調査や同じような事象のチェックもオープンソースではより多くの目で行われる。
そういった違いは間違いなく存在するのだけど、すべてのコードをくまなく見てから使う訳ではないのだからまだ見てない部分は結局信頼するしか無いと思う。