アカウント名:
パスワード:
RiskSenseの「The Dark Reality of Open Source」レポートhttps://info.risksense.com/open-source-spotlight-report-bl [risksense.com]
同社による解説ブログhttps://risksense.com/blog/is-open-source-your-risk-based-blind-spot/ [risksense.com]
× 人気オープンソースプロジェクトの脆弱性、1年で倍増〇 人気オープンソースプロジェクトの脆弱性を探す目の数、1年で倍増
去年まではみんな片目で探してたんですね。
片目どころか…なかった事にするのは穏当な方で…だからなぁ。
いくつかの目はガラスだったのかもしれない
目の数が2倍になっただけで脆弱性が2倍見つかるなんてなんて低品質……
目玉の数さえ十分あれば、すべてのバグは深刻ではない
――リーナスの法則
直す手もありゃあね
いやいや、脆弱性とともに生きる寛容な心があればいい。
100%バグフリーを求めるバカがいるからねえ。
microsoftやappleと違って直されているよ
物凄くたくさん要る。
https://www.freebsd.org/doc/ja/books/faq/misc.html#idp52962424 [freebsd.org]
12.16.ひとつの電球を取り替えるのに、何人の FreeBSD ハッカーが必要?
1,172人です。
じゃあヤツメウナギに探させよう。
# 増えてない
目玉(脳)の質…
目の数が増えたというよりもFuzzingツールが進化して脆弱性が発見されやすくなったという印象ですね。例えば最近だとFIFUZZ [usenix.org]というエラーハンドリングコードを重点的にFuzzingするツールが登場してOSSプロジェクトの脆弱性が大量に発見されました。
バグに限らず、ウイルス検知なんかもさ、検知したら悪みたいな風潮はあるよね。
もうかなり昔の話にはなるけど、隣の部署の人がとある軍事関連企業にシステム納めにいってた時に聞いた話。そこの社内で Form (当時流行ったウイルス) が検知されたらしいんだけど、その検知された端末の所有者が懲戒解雇になったって言ってた。
例えば、会社のパソコンで業務と関係無いサイトを閲覧して、そこで感染したマルウェアを社内に広めたりしたら、普通はその社員に厳しい処分が下ると思うよ。
> バグに限らず、ウイルス検知なんかもさ、検知したら悪みたいな風潮はあるよね。でも、これは何だか色々と怖い職場だねえ。
隠しちゃうから良くないのはあるかもしれないが、お咎めなしだとルールなんか守らないよ?経緯をヒアリングして決めればよいのでは。そもそもユーザは隠すものという前提で動いてるから報告ルールが守られるなんて思ってないし、実際そう。システマチックに、検出したらアラートが上がるようになってる。
検知は悪じゃないよねって事だと思う。直接の非が無く発生したウイルス検知に対して、無意味な叱責で空気を悪くするのは阿呆の仕事。ルール違反にはお咎めは要るだろうけど、それとて行為に応じた戦略的な譴責が望ましい。
不用意に脅しをかけて従業員が適切な情報を提供しなくなれば、やはり問題解決の障害になるから。
完成された職場においては、空気がどうなろうと関係がない。システムが維持されるかどうか。むしろ、システムが維持されるなら、弱いやつはどんどん消えてくれまである。
なんか人間とか要らなそうな職場ね。
全機械化・IT化・AI化で問題ない。オーナーが潤うなら、フル アウトソースですら問題ない。
完成された地球においては、空気がどうなろうと関係がない。生態系が維持されるかどうか。むしろ、生態系が維持されるなら、弱いやつはどんどん消えてくれまである。
うーん、昔話されても最近の風潮には関係ないかな
今はどちらかというと感染するのは仕方ないからと感染防止より感染後の拡大防止の方に注力してたりするし
本当に項目的に増えていないと言えるのだろうか?人気が出たので開発モチベーションが増えた結果、バグも増えた可能性もあるのじゃ?
開発がチンタラしていれば、バグの件数が増えることもまた少ないわけだし。
> 人気オープンソースプロジェクトの脆弱性を探す目の数、1年で倍増
レポートのどこに書いてあんだよw
コモンセンス
スラドの利用者が入れ替わったと実感する。
目が倍増すれば発見数も倍増すると思っちゃうそのピュア(笑)なセンスってさ、追加人員を倍投入すれば半分のスケジュールで出来るってのと同じセンスだよそんなセンスが昔はスラドでもあったの?入れ替わって良かったw
碌な根拠もなく「自分はそう思う」程度で他人の行いを詐欺呼ばわりとは…
新しい経験値を得られず今持ってるのも忘れていくだけのお爺様は大人しくしてろよw
コロナで無職になった小僧の自己紹介かな爺さんのチンコしゃぶらないと仕事もらえないもんなw
小僧にちんこしゃぶらせるのがご趣味で?wこっちでもボコボコにされて可哀想だねhttps://srad.jp/comment/3830473 [srad.jp]
またマイナスモデ自慢して逃げまわってんの?
> またマイナスモデ自慢して逃げまわってんの?マイナスモデはネット工作(笑)そのリンク先見るば(たぶん)三人に突っ込まれて逃げ回ってるのは自分だとバレちゃうのにね
惜しい。改善比率は新機能の追加数も考慮に入れないと。がんがん new feature 入れてバグが増えるのは分る(いい意味ではない)が、issue のみで2倍増加はプロジェクトメンバーがヤバイ。もしくは何か技術的トラブルを抱えてる。
#産業スパイが入り込んでいる場合も微レ存
DevOpsが流行ってツール類が増えた影響あるかも?
導入する時は確認するけど、その後放置だと危険性が増えるんだよね管理者権限使って操作する必要あるものだったが、デーモンで動き続けてるの気付いてちょっと怖くなったことあったな
つい、次のストーリー [developers.srad.jp]でCが増えてるってあったのが関係してるかも、と思ってしまった。別にCが即悪者ってわけじゃないだろうけど、ちゃんと書ける人じゃないと簡単に酷いことになる言語だし。
Drupalが日本でマイナーなだけで、世界的には使われていることを差し引いても、この並びは何か作為的では?
あとの40人は実験に不誠実なので除外しました!
M$謹製のOSSは…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
だからオリジナルのソースを付けろ (スコア:1)
RiskSenseの「The Dark Reality of Open Source」レポート
https://info.risksense.com/open-source-spotlight-report-bl [risksense.com]
同社による解説ブログ
https://risksense.com/blog/is-open-source-your-risk-based-blind-spot/ [risksense.com]
詐欺タイトル (スコア:0)
× 人気オープンソースプロジェクトの脆弱性、1年で倍増
〇 人気オープンソースプロジェクトの脆弱性を探す目の数、1年で倍増
Re:詐欺タイトル (スコア:1)
去年まではみんな片目で探してたんですね。
Re: (スコア:0)
片目どころか…なかった事にするのは穏当な方で…だからなぁ。
Re: (スコア:0)
いくつかの目はガラスだったのかもしれない
Re: (スコア:0)
目の数が2倍になっただけで脆弱性が2倍見つかるなんてなんて低品質……
Re: (スコア:0)
――リーナスの法則
Re: (スコア:0)
直す手もありゃあね
Re: (スコア:0)
いやいや、脆弱性とともに生きる寛容な心があればいい。
Re: (スコア:0)
100%バグフリーを求めるバカがいるからねえ。
Re:詐欺タイトル (スコア:1)
Re: (スコア:0)
microsoftやappleと違って直されているよ
Re: (スコア:0)
物凄くたくさん要る。
https://www.freebsd.org/doc/ja/books/faq/misc.html#idp52962424 [freebsd.org]
12.16.ひとつの電球を取り替えるのに、何人の FreeBSD ハッカーが必要?
1,172人です。
Re: (スコア:0)
じゃあヤツメウナギに探させよう。
# 増えてない
Re: (スコア:0)
目玉(脳)の質…
Re: (スコア:0)
目の数が増えたというよりもFuzzingツールが進化して脆弱性が発見されやすくなったという印象ですね。
例えば最近だとFIFUZZ [usenix.org]というエラーハンドリングコードを重点的にFuzzingするツールが登場してOSSプロジェクトの脆弱性が大量に発見されました。
Re: (スコア:0)
バグに限らず、ウイルス検知なんかもさ、検知したら悪みたいな風潮はあるよね。
もうかなり昔の話にはなるけど、隣の部署の人がとある軍事関連企業にシステム納めにいってた時に聞いた話。そこの社内で Form (当時流行ったウイルス) が検知されたらしいんだけど、その検知された端末の所有者が懲戒解雇になったって言ってた。
Re: (スコア:0)
例えば、会社のパソコンで業務と関係無いサイトを閲覧して、そこで感染したマルウェアを社内に広めたりしたら、普通はその社員に厳しい処分が下ると思うよ。
> バグに限らず、ウイルス検知なんかもさ、検知したら悪みたいな風潮はあるよね。
でも、これは何だか色々と怖い職場だねえ。
Re: (スコア:0)
隠しちゃうから良くないのはあるかもしれないが、お咎めなしだとルールなんか守らないよ?
経緯をヒアリングして決めればよいのでは。
そもそもユーザは隠すものという前提で動いてるから報告ルールが守られるなんて思ってないし、実際そう。
システマチックに、検出したらアラートが上がるようになってる。
Re: (スコア:0)
検知は悪じゃないよねって事だと思う。
直接の非が無く発生したウイルス検知に対して、無意味な叱責で空気を悪くするのは阿呆の仕事。
ルール違反にはお咎めは要るだろうけど、それとて行為に応じた戦略的な譴責が望ましい。
不用意に脅しをかけて従業員が適切な情報を提供しなくなれば、やはり問題解決の障害になるから。
Re: (スコア:0)
完成された職場においては、空気がどうなろうと関係がない。システムが維持されるかどうか。
むしろ、システムが維持されるなら、弱いやつはどんどん消えてくれまである。
Re: (スコア:0)
なんか人間とか要らなそうな職場ね。
Re: (スコア:0)
全機械化・IT化・AI化で問題ない。オーナーが潤うなら、フル アウトソースですら問題ない。
Re: (スコア:0)
完成された地球においては、空気がどうなろうと関係がない。生態系が維持されるかどうか。
むしろ、生態系が維持されるなら、弱いやつはどんどん消えてくれまである。
Re: (スコア:0)
うーん、昔話されても最近の風潮には関係ないかな
今はどちらかというと感染するのは仕方ないからと感染防止より感染後の拡大防止の方に注力してたりするし
Re: (スコア:0)
本当に項目的に増えていないと言えるのだろうか?
人気が出たので開発モチベーションが増えた結果、バグも増えた可能性もあるのじゃ?
開発がチンタラしていれば、バグの件数が増えることもまた少ないわけだし。
デマタイトル (スコア:0)
> 人気オープンソースプロジェクトの脆弱性を探す目の数、1年で倍増
レポートのどこに書いてあんだよw
Re: (スコア:0)
コモンセンス
スラドの利用者が入れ替わったと実感する。
Re: (スコア:0)
目が倍増すれば発見数も倍増すると思っちゃうそのピュア(笑)なセンスってさ、追加人員を倍投入すれば半分のスケジュールで出来るってのと同じセンスだよ
そんなセンスが昔はスラドでもあったの?
入れ替わって良かったw
Re: (スコア:0)
碌な根拠もなく「自分はそう思う」程度で他人の行いを詐欺呼ばわりとは…
Re: (スコア:0)
新しい経験値を得られず今持ってるのも忘れていくだけのお爺様は大人しくしてろよw
Re: (スコア:0)
コロナで無職になった小僧の自己紹介かな
爺さんのチンコしゃぶらないと仕事もらえないもんなw
Re: (スコア:0)
小僧にちんこしゃぶらせるのがご趣味で?w
こっちでもボコボコにされて可哀想だね
https://srad.jp/comment/3830473 [srad.jp]
Re: (スコア:0)
またマイナスモデ自慢して逃げまわってんの?
Re: (スコア:0)
> またマイナスモデ自慢して逃げまわってんの?
マイナスモデはネット工作(笑)
そのリンク先見るば(たぶん)三人に突っ込まれて逃げ回ってるのは自分だとバレちゃうのにね
Re: (スコア:0)
惜しい。改善比率は新機能の追加数も考慮に入れないと。
がんがん new feature 入れてバグが増えるのは分る(いい意味ではない)が、
issue のみで2倍増加はプロジェクトメンバーがヤバイ。もしくは何か技術的トラブルを抱えてる。
#産業スパイが入り込んでいる場合も微レ存
DevOpsの流行で増えた影響もありそう (スコア:0)
DevOpsが流行ってツール類が増えた影響あるかも?
導入する時は確認するけど、その後放置だと危険性が増えるんだよね
管理者権限使って操作する必要あるものだったが、デーモンで動き続けてるの気付いてちょっと怖くなったことあったな
C言語増加 (スコア:0)
つい、次のストーリー [developers.srad.jp]でCが増えてるってあったのが関係してるかも、と思ってしまった。
別にCが即悪者ってわけじゃないだろうけど、ちゃんと書ける人じゃないと簡単に酷いことになる言語だし。
Linux、WordPress、Drupal (スコア:0)
Drupalが日本でマイナーなだけで、世界的には使われていることを差し引いても、この並びは何か作為的では?
Re: (スコア:0)
あとの40人は実験に不誠実なので除外しました!
Re: (スコア:0)
M$謹製のOSSは…