アカウント名:
パスワード:
人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか
ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
それに仮に監査をしたからと言って、それはその時点での特定の条件の確認でしかない。その後の開発でデグレってないか、未知の攻撃手法に耐えられるかまで確認しているわけではない。
で、それを前提にしてだけど・・・そもそもソースが公開されていれば安全だなんて冗談はどこから出てきたんでしょうか?GPLで公開してる人もBSDライセンスで公開してる人もちゃんと「無保証」だって言ってるのに。(安全だ、と言うのはある種の保証ですよね。少なくともその言葉の受け手にとっては・・・)まずは安全だなんて冗談を吹聴している奴を吊し上げることからはじめたほうがいいような気が。
# という所までの話は別に全然目新しい話だとは思ってないんだけど# 最近オープンソースソフトウェアで発生したセキュリティー問題は、# すべて一般大衆に認知されているというってホントですか?# 今年セキュリティ業界の人で知らない人はいないであろうOpenSSLやbashの件ですら# 一般人がみんな認識してるとはとても思えないのですが・・・# ホントに認識してるならセキュリティの理想云々以上にこっちの事実のほうが大事件だよなw
> ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。> オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
その通りだと思います。オープンソースでもクローズドソースでも、セキュリティの観点で開発・テストを真っ当に行っていれば、お粗末なセキュリティーの問題はまず発生しない。
クローズソースなら、ソースが開示されていないので問題が無いかと言えば、国家機密に関わるなど攻撃する価値があれば狙われる。狙われにくいものがあるとしたら、クローズドなシステムであってオープンソースかクローズドソースかは関係ない。
セキュリティーの担保を誰が取るのか?というと、それでビジネスをする企業が出資して、実現するといった流れみたいですね。
http://osdn.jp/magazine/14/04/25/150000 [osdn.jp]Linux Foundationが富士通、Google、Microsoftらとオープンソースプロジェクト向け基金を設立、まずはOpenSSLを支援へ
> # 最近オープンソースソフトウェアで発生したセキュリティー問題は、> # すべて一般大衆に認知されているというってホントですか?
実のところ、大衆の眼に晒されていて、認知されるのは機能バグであって、セキュリティー問題が認知されるというのは、誰が言い出したのかは分かりませんが、希望的な拡大解釈だったことが、ようやく認知されてきたという事でしょう。
>そもそもソースが公開されていれば安全だなんて冗談はどこから出てきたんでしょうか?
エリック・レイモンドに言ってやれ
安全神話は、安全神話なんてものができた時点で十分危険なんだよ。
安全神話なんて、外野のメディアが勝手にいいだすんだけどな。迷惑なので当事者たちが説明を試みても、理解を拒否して捻じ曲げた表現でわめきつづけるんだ。
当事者は説明を試みてたかな?誤解を上手いこと利用しようとしてた気がするんだ。
それともあの誤解を解こうとせずにOSSの優位性を説いてた人たちも外野の人間だったろうか?
オープンであろうがクローズドであろうが、安全性というレベルでは大して変わらない。ただ、サポート終了後でもオープンソースなら自力でメンテナンス可能だというだけの話だ。
サポート終了後でもオープンソースなら自力でメンテナンス可能だというだけの話だ。
ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.
# 不可能じゃない人間は, 大抵そのことに気づいていない
> ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.同意。ただ、オープンソースならば、少し敷居は低い、対応するソースがある事が担保される。
# 某所で、製品なのに、保存されているソースから同一バイナリができない... なんて。# 逆汗して復活させたけど、今時の規模だときっと無理。
それと、保障期間を過ぎたとき、ソースが破棄されたら、完全に調査不能。オープンソースなら、金払えば、可能性はある、と。# 可能性あるだけで、誰でもなんて言いません。
金払いたくないから(略)フリー=無料扱いの時点でお察し。
そりゃ何がしかの技能を要する多くのことは「大部分の」個人にとっちゃ事実上不可能でしょうが
別にオープンソースでなくても自力でメンテナンス可能ですよ?
ファンタジーやメルヘンじゃあないんですから、ソフトウェアが動作するからにはコードがあり、コードがあればメンテナンスは可能です(署名や暗号化のチェーンがハードウェアのレイヤーから繋がっているなど、例外はありますが)。
そのコードがバイナリ表現かテキスト表現かでメンテナンス出来たり出来なかったりする人はいるでしょうが、それは個人の能力の問題でしかないので。
甘い。GPLv3を作るきっかけのひとつに電子署名済みのバイナリしか受け付けないようにしたハードウェアの存在があります。http://ja.wikipedia.org/wiki/TiVo%E5%8C%96 [wikipedia.org]
UEFIでセキュアブートが必須になる場合も似たような課題があります。今のところ顕在化していないようですが。
ハードウエアを改造すればいいでしょ。
自分が使うソフトウェアのことなどわかりたくもないという人々を前提にして、「ただ信頼する」以外のオプションを一切封じた条件で語るならばそりゃオープンもクローズドも変わらないだろうという至極当然の話ですね。
有志が作って有志が使っていた一昔前ならば利点のひとつとして成立していたことなのでしょうが、「無料」でググって大挙して品質とサポートを底なしに要求する人達を満足させるものではないでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
信頼だけでセキュリティは確保出来ない (スコア:0)
ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。
オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
それに仮に監査をしたからと言って、それはその時点での特定の条件の確認でしかない。
その後の開発でデグレってないか、未知の攻撃手法に耐えられるかまで確認しているわけではない。
で、それを前提にしてだけど・・・
そもそもソースが公開されていれば安全だなんて冗談はどこから出てきたんでしょうか?
GPLで公開してる人もBSDライセンスで公開してる人もちゃんと「無保証」だって言ってるのに。
(安全だ、と言うのはある種の保証ですよね。少なくともその言葉の受け手にとっては・・・)
まずは安全だなんて冗談を吹聴している奴を吊し上げることからはじめたほうがいいような気が。
# という所までの話は別に全然目新しい話だとは思ってないんだけど
# 最近オープンソースソフトウェアで発生したセキュリティー問題は、
# すべて一般大衆に認知されているというってホントですか?
# 今年セキュリティ業界の人で知らない人はいないであろうOpenSSLやbashの件ですら
# 一般人がみんな認識してるとはとても思えないのですが・・・
# ホントに認識してるならセキュリティの理想云々以上にこっちの事実のほうが大事件だよなw
Re:信頼だけでセキュリティは確保出来ない (スコア:2)
> ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。
> オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。
その通りだと思います。
オープンソースでもクローズドソースでも、セキュリティの観点で開発・テストを
真っ当に行っていれば、お粗末なセキュリティーの問題はまず発生しない。
クローズソースなら、ソースが開示されていないので問題が無いかと言えば、
国家機密に関わるなど攻撃する価値があれば狙われる。
狙われにくいものがあるとしたら、クローズドなシステムであってオープンソースかクローズドソースかは関係ない。
セキュリティーの担保を誰が取るのか?というと、それでビジネスをする企業が出資して、
実現するといった流れみたいですね。
http://osdn.jp/magazine/14/04/25/150000 [osdn.jp]
Linux Foundationが富士通、Google、Microsoftらとオープンソースプロジェクト向け基金を設立、まずはOpenSSLを支援へ
> # 最近オープンソースソフトウェアで発生したセキュリティー問題は、
> # すべて一般大衆に認知されているというってホントですか?
実のところ、大衆の眼に晒されていて、認知されるのは機能バグであって、
セキュリティー問題が認知されるというのは、誰が言い出したのかは分かりませんが、
希望的な拡大解釈だったことが、ようやく認知されてきたという事でしょう。
Re:信頼だけでセキュリティは確保出来ない (スコア:1)
>そもそもソースが公開されていれば安全だなんて冗談はどこから出てきたんでしょうか?
エリック・レイモンドに言ってやれ
Re:信頼だけでセキュリティは確保出来ない (スコア:1)
安全神話は、安全神話なんてものができた時点で十分危険なんだよ。
Re: (スコア:0)
安全神話なんて、外野のメディアが勝手にいいだすんだけどな。
迷惑なので当事者たちが説明を試みても、理解を拒否して捻じ曲げた表現でわめきつづけるんだ。
Re:信頼だけでセキュリティは確保出来ない (スコア:1)
当事者は説明を試みてたかな?
誤解を上手いこと利用しようとしてた気がするんだ。
それともあの誤解を解こうとせずにOSSの優位性を説いてた人たちも外野の人間だったろうか?
Re: (スコア:0)
オープンであろうがクローズドであろうが、安全性というレベルでは大して変わらない。ただ、サポート終了後でもオープンソースなら自力でメンテナンス可能だというだけの話だ。
Re:信頼だけでセキュリティは確保出来ない (スコア:2)
ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.
# 不可能じゃない人間は, 大抵そのことに気づいていない
Re: (スコア:0)
> ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.
同意。
ただ、オープンソースならば、少し敷居は低い、対応するソースがある事が担保される。
# 某所で、製品なのに、保存されているソースから同一バイナリができない... なんて。
# 逆汗して復活させたけど、今時の規模だときっと無理。
それと、保障期間を過ぎたとき、ソースが破棄されたら、完全に調査不能。
オープンソースなら、金払えば、可能性はある、と。
# 可能性あるだけで、誰でもなんて言いません。
Re: (スコア:0)
金払いたくないから(略)
フリー=無料扱いの時点でお察し。
Re: (スコア:0)
そりゃ何がしかの技能を要する多くのことは「大部分の」個人にとっちゃ事実上不可能でしょうが
Re: (スコア:0)
別にオープンソースでなくても自力でメンテナンス可能ですよ?
ファンタジーやメルヘンじゃあないんですから、ソフトウェアが動作するからにはコードがあり、コードがあればメンテナンスは可能です(署名や暗号化のチェーンがハードウェアのレイヤーから繋がっているなど、例外はありますが)。
そのコードがバイナリ表現かテキスト表現かでメンテナンス出来たり出来なかったりする人はいるでしょうが、それは個人の能力の問題でしかないので。
Re: (スコア:0)
甘い。GPLv3を作るきっかけのひとつに電子署名済みのバイナリしか受け付けないようにしたハードウェアの存在があります。
http://ja.wikipedia.org/wiki/TiVo%E5%8C%96 [wikipedia.org]
UEFIでセキュアブートが必須になる場合も似たような課題があります。今のところ顕在化していないようですが。
そのコードがバイナリ表現かテキスト表現かでメンテナンス出来たり出来なかったりする人はいるでしょうが、それは個人の能力の問題でしかないので。
Re: (スコア:0)
ハードウエアを改造すればいいでしょ。
Re: (スコア:0)
自分が使うソフトウェアのことなどわかりたくもないという人々を前提にして、
「ただ信頼する」以外のオプションを一切封じた条件で語るならば
そりゃオープンもクローズドも変わらないだろうという至極当然の話ですね。
有志が作って有志が使っていた一昔前ならば利点のひとつとして成立していたことなのでしょうが、
「無料」でググって大挙して品質とサポートを底なしに要求する人達を満足させるものではないでしょう。