プロジェクトのリソース不足がオープンソースソフトウェアの脆弱性を生む? 82
ストーリー by headless
虚弱 部門より
虚弱 部門より
OpenSSLのHeartbleed脆弱性でオープンソースソフトウェアの脆弱性問題が注目を集めたが、成果が広く使われているオープンソースプロジェクトであっても人的・資金的なリソースが大幅に不足していることが原因の1つだとする意見もある(SSH Communications Securityのブログ記事、
本家/.)。
OpenSSLプロジェクトではフルタイムの開発者は1名しかおらず、多数のボランティア開発者がパートタイムで参加しているという。実質的にはフルタイム2名分程度の労働力でコードを書き、テストや5万行に及ぶコードのレビューなどを行っていることになる。The OpenSSL Software FoundationのSteve Marquess氏は「忙しいボランティアがこのバグを見落としたことよりも、同じようなことがもっと頻繁に起こらないことの方が不思議だ」と話しているとのこと。
OpenSSHプロジェクトなど複数のプロジェクトを抱えるOpenBSDプロジェクトは資金不足に悩まされている。プロジェクトを率いるTheo de Raadt氏は、企業が率先してプロジェクトへの寄付を行い、次に企業ユーザー、最後が個人ユーザーとなるべきだ考えているが、実際には寄付の大半が個人からのものだという。OpenBSDプロジェクトは今年1月にも深刻な資金不足に陥ったが、安定した資金源が確保できなければプロジェクトが完全に停止してしまう可能性もあるとのことだ。
OpenSSLプロジェクトではフルタイムの開発者は1名しかおらず、多数のボランティア開発者がパートタイムで参加しているという。実質的にはフルタイム2名分程度の労働力でコードを書き、テストや5万行に及ぶコードのレビューなどを行っていることになる。The OpenSSL Software FoundationのSteve Marquess氏は「忙しいボランティアがこのバグを見落としたことよりも、同じようなことがもっと頻繁に起こらないことの方が不思議だ」と話しているとのこと。
OpenSSHプロジェクトなど複数のプロジェクトを抱えるOpenBSDプロジェクトは資金不足に悩まされている。プロジェクトを率いるTheo de Raadt氏は、企業が率先してプロジェクトへの寄付を行い、次に企業ユーザー、最後が個人ユーザーとなるべきだ考えているが、実際には寄付の大半が個人からのものだという。OpenBSDプロジェクトは今年1月にも深刻な資金不足に陥ったが、安定した資金源が確保できなければプロジェクトが完全に停止してしまう可能性もあるとのことだ。
OSSであるからさ (スコア:1)
昔、Linux系の記事を読んでいた時に「金はサポートと本で稼げ」と言っていた人がいた。
実際、それは死ぬほど面倒なこと。自分なら一度作ってもう知らんと思うし、そうやってきた。
なんて儲からない業種なんだ、OSSに準じる彼らは。
ボランティア?彼らは金を必要としているじゃないか。
それはつまり、金があれば仕事をするということだろう?労働者と何の違いがある。
まあエレコム事件もわからないでもないなー、とか思った。
Re:OSSであるからさ (スコア:2, すばらしい洞察)
オラクルみたいに難解なシステムにしておいて
サポートと資格認定でやっていくしかないと思います
結局、資本主義経済の中では適性な対価を得るために
プロプライエタリな仕組みを持たないとやってけないんでしょ
Re: (スコア:0, 参考になる)
正直同意する。
霞食って生きられる奴ならそうすりゃいいけど俺は御免だ。
「金はサポートと本で稼げ」と言っていた人がいた。
RMSがそんな事言ってたな。それが出来る人が一体何人いるのやら。
OSSファンボーイはそういう一握りの例外で全てを語ろうとするから話にならんし。
Re: (スコア:0)
じゃあ、産業がどうなるかとか社会の影響はどうなのかとか考えず、
自分(とその近くの人々)が稼ぐことによってどう影響するかは二の次というのが大人っぽい考え方?
Re: (スコア:0)
そういう返し方しか思いつけないのが子供っぽい考え方なんだよ
Re: (スコア:0)
むしろ最初からわかってた事だろ、
としか思えないけどな
Re: (スコア:0)
昔からオープンソースってのは自称天才君の自己満足公開の場でしか無かったと
思うんだけど控えめな言い方しても。公開するほどの暇と頭脳を持て余してないなら
ボランティアする必要も無い。その程度のものです。
Re:OSSであるからさ (スコア:1)
もしそうなら、OpenSSLなどのOSSがまともな商業活動に採用されることなんてなかっただろうし、OSSの脆弱性が大きな話題になることもなかったと思うんだけど。
Re: (スコア:0)
フリーよりもセキュリティが重要とすれば。両立が難しいならフリーは切ろう。
オープンは常にフリーと共にある必要は無い、というポリシーはだめかな。
Re: (スコア:0)
rmsなフリーソフトウェアもOSSも同じだけど、大元はメーカーの都合でドライバとかを提供しなくなるくらいなら「自分で勝手にいじるから」自由に使わせろ、というのが動機
なので、ただで使えるからありがたい、というのは副産物なのにそっちを主産物であるかのように受け取るから話がおかしくなる
#一緒にするな、とrmsに怒られそうだが
SSLのオープンソース実装で困るくらいなら自分で作れ、と
特に、今回みたいな、クライアントに配布する必要なんかなく、仮にGPLだったとしても関係ないようなものならなおさらだろう、と
Re: (スコア:0)
最後が分からんけど、RMSの説明から途中であなたの意見に切り替わったのかな?
SSLのオープン実装で困ったら、直すからソースよこせがRMSじゃないの?
スクラッチからやるなら、ドライバ提供しなくても自分で作るからいいってことになるんで。
知らなかった (スコア:1)
寄付の大半が個人からだったんだ・・・
Apacheなんかもそうなんだろうか。
個人、侮り難し(話ズレてる)
OpenSSL (スコア:0)
ハートブリード、原因は開発者のミス―「OpenSSL」は少数のボランティアに依存
http://jp.wsj.com/article/SB10001424052702303433504579501080000871574.html [wsj.com]
限られた予算をどう使うかがプロジェクト運営の要だと思いますが、コードに関わる人とコンピュータ以外の何が予算を圧迫しているのでしょうか?
# コンサル費用が気になる。
Re:OpenSSL (スコア:2)
Re:OpenSSL (スコア:1)
メンバーはサポートやコンサル業務が本業で、開発はその合間を縫っての作業ということですか。
資金提供があればもっと開発に注力できるということだったのですね。
Re:OpenSSL (スコア:1)
http://opensource.srad.jp/comments.pl?sid=629087&cid=2584571 [srad.jp]
OpenSSL の場合、経済力の問題より、ユーザは多くても検証に協力してくれる開発者が壊滅的に見えるのが大きい。
多少の資金が増えても、袋叩きにあうのを見た後では、関心を持って参加する開発者が増えるだろうか。
Re:OpenSSL (スコア:1)
資金力の違いが脆弱性の決定的差ではない事を教えてやる!
・・・と、3倍喧嘩っ早いTheoくんが言ったかどうかは知らない
Re: (スコア:0)
OpenSSLは酷いコードらしいですからねえ。
わざわざボランティア≒趣味でサルが書いたコードと揶揄されるようなものを見たいとは思わないんじゃないでしょうか。
>予算は年間100万ドル(約1億円)に満たない。 (スコア:0)
OSS一般の感覚は判りませんが、OpenSSLの規模でそれって少ないのでしょうか?
フルタイムの常勤1名で、後はサーバー台やらぐらいなイメージがあるのですが・・・。
1億円って、超簡単に考えて1人月100万円でも100人月/年ですよね?
OpenSSLを開発できるようなスーパーマンだと、1人月1000万円ぐらいで全然足りないということ?
Re:>予算は年間100万ドル(約1億円)に満たない。 (スコア:2)
えいっと、人月150万円で考えて5名程度を想定で年間9000万円なので、
100万~150万で4~7人前後程度を賄うと考えれば、どんぶり勘定ではそんなものかなっていう気はします。
全員が生粋の開発者でもないだろうし、知財法務や会計、財団運営でどれだけ裂いているのかわかりませんが。
(フルタイム1名っていうだけで、パートタイムやら、スポットでの支払いは結構あるんだろうと想定)
追記
https://www.openssl.org/support/acknowledgments.html [openssl.org]
へぇ、WWWの更新滞らせているのか少し疑わしいけどNokiaがPlatinum Sponsorか。
Re: (スコア:0)
フルタイムでもないのに人月150万とかすごいですね(棒
ソフトウェアの成分分析 (スコア:0, 興味深い)
人材、資金をどこから調達するか。
寄付という手段なら、プロジェクトの方向性は開発者が決められるますが、
それが、何らかの目的を持った組織の利に適わないから、個人からの寄付が大半なのでしょう。
ただ、寄付以外の方法で、民間企業、政府組織・反政府組織からの出資を増やせば、
プロジェクトが歪んでいく。(……Androidとか、OpenSSLはこれの例になるかな?)
結局、オープンソースプロジェクトが継続性のある活動となるためには、
どのような運営形態であるべきかという話だと思います。
(Redhatは成功している方なのかな?)
Re:ソフトウェアの成分分析 (スコア:1)
ソフト/ハードの別に関わらず、安全性(脆弱性の無さを含む)というのは消費者/ユーザーにとって最後の関心事なので、あまりリソースを掛けられないのです
まずは何が「できるか」 次に何が「できないか」 最後に何が「安全にできるか」
自動車やおもちゃや食料の安全が重視されるようになるには長い年月がかかりました
ソフトウェアも然り
問題が起こらないうちから「問題が起こったら大変だ」と言うと白い目で見られたりするのです
#問題が起こってから、なぜ放って置いたんだ、と同じ人に言われたりするので困ったものですが
結論としては、Theo頑張れ…
Re: (スコア:0)
幸い、ソフトウェアはコピーできるので、世界中にひとつプロジェクトがあればそれで世界中の需要がまかなえます。
それが、自動車やおもちゃや食料とは異なるところだと思います。
Re:ソフトウェアの成分分析 (スコア:1)
Re: (スコア:0)
非政府組織、ですよね
Re: (スコア:0)
商用利用は有料じゃだめなのか?
釣り合いがとれていないだけじゃ? (スコア:0)
リソースに見合った規模のプロジェクトにすればいいだけだと思う。
Re:釣り合いがとれていないだけじゃ? (スコア:1)
リソースに見合った規模のプロジェクトにすればいいだけだと思う。
それもそうだけど魅力のないプロジェクトだから、力量のないプログラマしか集まらないんでしょ。
魅力があるプロジェクトは力量のあるプログラマが集まり、切磋琢磨し良質なプログラムを提供しあう。
しかし魅力がないプロジェクトでは、あふれあまった力量のないプログラマしか集まらない。
ゆえに提供されるプログラムは少々劣るものとなる。
資金云々とは、別次元だと思う。
たとえば魅力的な○×プロジェクトに「千行のコードを提供したよ」といったら自慢できるが、
OpenSSLに「千行のコードを提供したよ」といっても「Heartbleedか?」と思われる。そんなところだと思う。
OSS関係なくない? (スコア:0)
開発リソースが少なくってカツカツなプロジェクトでも
プロプラや下請なら安泰ってわけでも無いし
そもそも規模に対して人的・時間的リソースが足りないなら
どんな開発形態でもダメじゃね?
Re: (スコア:0)
むしろ、失敗の原因をリソースに求めること自体が間違いだと思いますね。
人員が多ければ、金銭的に余裕があればセキュリティが高まるというものではない、というのはInternet ExplorerやWindowsの事例からも明らかなわけですから、むしろ「金以外の方法で、優秀な開発者に積極的に参加してもらうことはできないのか」を考えて実行に移す時なんではないでしょうか。
こう書いているところからもおわかりのとおり、私もそれに対する明確な答えは持ち合わせていないのですが・・
Re:OSS関係なくない? (スコア:1, すばらしい洞察)
> 優秀な開発者に積極的に参加してもらう
失敗の原因をリソースに求めることを間違いとしておきながら、
リソースの確保によってそれを解決しようとするのは何故なんでしょう。
まさにリソースの問題だろ (スコア:0)
(ソフト開発に限らずどんな仕事でもそうだと思うが)一定の品質を保つためにはある程度の人間が必要で、それが足りてないって話なんだから。
Re: (スコア:0)
>人員が多ければ、金銭的に余裕があればセキュリティが高まるというものではない、というのはInternet ExplorerやWindowsの事例からも明らかなわけですから
逆でしょう。
人員が多いおかげでセキュリティが高まっていることがInternet ExplorerやWindowsの事例からも明らかになっているのですから。
Re: (スコア:0)
「伽藍とバザール」は結局世迷言って事?
Re:OSS関係なくない? (スコア:1)
『伽藍とバザール』問題とは何か・実は誤解していたかもしれない [autumn.org]
Re: (スコア:0)
こういうスタイルの文章のタイムスタンプが2010年であるということに驚愕せざるを得ない。
# ページデザインもだけど
Re: (スコア:0)
伽藍とバザールよりNetscapeのオープンソース化の方が現代に与えたインパクトが大きいと思うね。
だからFirefoxにはそろそろ終了して欲しい。そしてMySQLをオラクルが買収したことが一番正しい
選択だったと新たな位置づけが欲しいね。企業の紐がついたオープンソースこそが正常な
経済活動の上で成り立つオープンソース。不自由なオープンソースこそが正義だと。
Re: (スコア:0)
自由か不自由かはライセンスによって決まるのであって、
担い手が企業か個人かで決まるのではないよ。
ただオープンソースを支えるにはある程度の経済力が必要で、
一般には個人より企業のほうがより大きな経済力を持っている。
オープンソースの参加者にはそういう、より大きな経済力が求められているのだろうね。
それはそれだけオープンソースソフトウェアの社会的役割が大きくなったということの証だ。
そういう意味ではコメントの方向性には概ね賛同。
Re: (スコア:0)
OpenSSLって伽藍だよね
Re: (スコア:0)
だよなぁ。
殆どの人が関ることの無い部分だよね。
じゃあオープンである意味があるかというと、
Jpeg特許みたいな問題が突然発生しないから当然長所だけど。
ハートブリード問題も変にいじっちゃったのが原因で、保守されてれば別に起きなかったし。
Zlibの脆弱性問題ってどう収束したんだっけ・・・。
ご連絡先 (スコア:0)
そんなもの日本じゃ10年以上前に(ゲフンゲフン
Re: (スコア:0)
アレは資金があっても運営がだめなものはだめという例だろ。
heartbleedの例を一般化はできないような (スコア:0)
あれを発見するためには、SSLの仕様を知り尽くしていないといけないわけで、そんな人が全世界に何人いるか…。
みずほのシステム部隊の全員をフルタイムで投入しても見つかる気がしない。
Re:heartbleedの例を一般化はできないような (スコア:4, 参考になる)
仕様を知り尽くしている必要は必ずしもないとは思います。
Fixこれですし、
http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902 [openssl.org]
仕様と適切なレビューの機会があれば、一般的な開発スキルで発見可能かと。
ただ、出来上がったリリース物からこれを見つけ出すのは難しいかもしれません。ネットつながらない部屋に閉じ込めてこれを探させるのは良い演習問題かも。
# あわよくば賢い静的解析ツールに引っかかりそうな気もしますがダメだったのかな。
Re:heartbleedの例を一般化はできないような (スコア:1)
ツールごとに違うんで利用条件はよく読んだほうがいいよ
オープンソースものには使うことすらNGというのが以前あった
十分な議論なしに (スコア:0)
新機能を追加したところに問題があったのではないか
Re:十分な議論なしに (スコア:1)
十分な議論をするためのリソースが不足しているのかもしれない
まあオープンソースの限界なんでしょう (スコア:0)
優秀な人材にはそれなりの報酬が必要だってことですよ。
まあ報酬が良くても良い人材が集まるわけじゃないのが難しいところなんだけどね。
リソースがあれば解決するだろうか? (スコア:0)
とかくテストやコードレビューという地味な仕事を
率先してやってくれる殊勝なメンバーなんてそうそう居ないのが現実では?
きちんとテスト等をするには化石的な手法で地道にやるしかないわけで
仮にメンバーが増えたところでそういう仕事をやってくれるとは考えにくいかと。