十分な額の資金があれば、すべてのバグは深刻ではない? 55
ストーリー by headless
法則 部門より
法則 部門より
2014年、オープンソースコミュニティーは重大なセキュリティ問題に直面した。これについてLinux FoundationのJim Zemlin氏は、資金不足のプロジェクトに対する援助が必要との考えを示したとのこと(
eSecurity Planetの記事、
本家/.)。
Zemlin氏は「十分な数の目玉があれば、すべてのバグは深刻ではない」という、いわゆるLinusの法則を引用し、「これらのケースでは実際に目玉が見ていなかったのだ」と述べたという。現在のソフトウェアは非常に複雑であるため、現在のソフトウェアセキュリティーは非常に難しいと述べ、援助の必要なプロジェクトには資金を提供する必要があるとしている。現在、Linux FoundationのCore Infrastructure Initiative(CII)ではNTPやOpenSSL、GnuPGに対する資金援助を行っており、対象プロジェクトは今後も増えることが見込まれる。なお、CIIでは資金援助に加え、Core Infrastructure Censusによるバグ発見の手助けと、すべてのオープンソースプロジェクトに適用可能なセキュリティーのベストプラクティス構築を3つの重要なイニシアチブと位置付けているとのことだ。
Zemlin氏は「十分な数の目玉があれば、すべてのバグは深刻ではない」という、いわゆるLinusの法則を引用し、「これらのケースでは実際に目玉が見ていなかったのだ」と述べたという。現在のソフトウェアは非常に複雑であるため、現在のソフトウェアセキュリティーは非常に難しいと述べ、援助の必要なプロジェクトには資金を提供する必要があるとしている。現在、Linux FoundationのCore Infrastructure Initiative(CII)ではNTPやOpenSSL、GnuPGに対する資金援助を行っており、対象プロジェクトは今後も増えることが見込まれる。なお、CIIでは資金援助に加え、Core Infrastructure Censusによるバグ発見の手助けと、すべてのオープンソースプロジェクトに適用可能なセキュリティーのベストプラクティス構築を3つの重要なイニシアチブと位置付けているとのことだ。
資金提供は第一歩 (スコア:3, 参考になる)
熱意と技術がある人を縛り付けておくだけの報酬として、フルタイムで雇えるお金は第一歩かね。
セキュリティ界隈は当事者の義務感だけでもっているようなプロジェクトも多いから。
Re: (スコア:0)
むしろ誰も熱意をもってくれないタスクに
人を割り当てるために金がいるんでしょ
Re: (スコア:0)
もう企業でいいんじゃないかな
Re: (スコア:0)
報酬による強制タスクだから企業ですね。普通に資本主義。
興味を持って、改善していく状態ではなくなっているから。
オープンソースで資金が必要という状態は企業移行のサインだと思うが。
Re: (スコア:0)
目玉を買うのにお金が要ると言ってしまうのなら、ただオープンであってもセキュリティの担保にはならないことを肯定したも同然ですね。
まあ共通理解が一歩前進するのは良い事です。人類がまたひとり神を殺したというところでしょうかね。
オープンでなければ金をかけても目玉が増えない (スコア:0)
そういうこと
Re: (スコア:0)
えっと、例えばApache Software Foundationのことをどのようにお考えで?
Re: (スコア:0)
どう言わせたかったのかわからないけど、
ASFが拾えばこの問題が解決するのかね?
大衆の眼に晒されていて、認知されるのは機能バグ (スコア:3, 興味深い)
ここで言う機能とは、間接的でなく直接触れる機能のこと。
異常系をしゃぶり尽くすユーザが「目」と言えるけど、開発者が想定済みのありきたりな使い方は「ふし穴」。
セキュリティ関連の「目」となる機能の主な利用者はセキュリティホールを日夜探しているハッカーでしょう。
一方で、ハッカーにとってセキュリティ問題を秘匿したほうがメリットがある場合が多い。
※ 善意の報告も冷たくあしらわれることもあるし、善意がないならなおさら……。
セキュリティ問題に関しては、資金に関わるものとして2つの対策がある。
1) 正しくセキュリティ設計するため、優秀なエンジニアを雇うこと
2) なるべくセキュリティ問題を秘匿されないように、懸賞金をかけること
Re:大衆の眼に晒されていて、認知されるのは機能バグ (スコア:1)
> 2) なるべくセキュリティ問題を秘匿されないように、懸賞金をかけること
懸賞金なんて、裏の社会からの報酬から比べたら桁が違うでしょう。
懸賞金ももちろんですが、賞賛や名声などの方がモチベーションとしては高いんじゃないでしょうか。
まぁ、世の中には色々な人間がいるので、どういう風に正しい方向にモチベートしていくのかは大きな課題ですね・・・。
Re:大衆の眼に晒されていて、認知されるのは機能バグ (スコア:3, おもしろおかしい)
バグやセキュリティホールを埋め込むのは悪魔の所業であり、
これを見付け出し対策することで神により来世での幸福を約束されるという宗教を立ち上げて信者を洗脳するというのはどうでしょう。
新たな宗教戦争の火だねとなるリスクは伴いますが。
嫌な世の中だ (スコア:2, すばらしい洞察)
懸賞金の額が問題じゃなくて、犯罪者扱いしませんから安心して教えてね、って事を分りやすく示す一つの方法なんじゃないのかな
Re: (スコア:0)
職業ホワイトハッカーな人ですが、失職するリスクを考えればたかが1-2桁の違いに目が眩む人はいないでしょう。
一生遊んで暮らせるだけの金が確実に手に入るなら挑戦する人はいるかもしれませんが、無理でしょ。
一方、プライベートで研究するなら懸賞金つきが当然優先ですから、懸賞金は有効な方法といえるでしょう。
なお、懸賞金つきと言いながら支払いを渋ると逆効果なので気をつけましょう、ミクシィさん。
http://m-shiraishi.hatenadiary.com/entry/2014/05/11/224654 [hatenadiary.com]
もっと資金をつぎ込めば (スコア:2)
例の銀行のプロジェクトも全て丸く収まるってことさっ!!
Re:もっと資金をつぎ込めば (スコア:1)
数千億あれば、簡単にカタがつきますよ。
そのカネ(数千億ドル)で銀行を買収しちゃえばいいんです。
Re: (スコア:0)
仕様書を丸めて捨てる的な意味で?
Re: (スコア:0)
銀行自体を畳めるだけの資金力があれば・・・
十分な資金って…… (スコア:1)
「十分な」資金があったら、そもそも世の中のほとんどの問題は深刻ではないでしょ。
Re: (スコア:0)
責任を命で償おうという行為だけはご勘弁ください
Re: (スコア:0)
MSやAppleでさえ深刻な脆弱性を多数発していますがそれは
Re:十分な資金って…… (スコア:3, すばらしい洞察)
資金が十分じゃないってことです。
Re: (スコア:0)
それって循環論法・・・・
どれだけあればいいのか (スコア:1)
セキュリティリスクが深刻なバグと認識されないうちはよかった。
だがセキュリティ脆弱性を全て排除してないことをバグと認定する今、
そのすべてを目玉で管理するのは、資金をいくら積んでも不可能ではないか。
そうしたリスクは結局、発見されたら潰すというイタチごっこに頼るしかない。
タイトル、なぜそんな結論に至るのか? (スコア:0)
そろそろ必要条件と十分条件の違いを考えてから話そうぜ!
その首の上に付いてるものは飾りじゃないんだしさ。
Re:タイトル、なぜそんな結論に至るのか? (スコア:5, おもしろおかしい)
名前を見る限り、首の上にはなにもなさそうだが。
Re: (スコア:0)
ワロタ
Re:タイトル、なぜそんな結論に至るのか? (スコア:1)
("目玉の数" eq "資金") は true なんすね。
Re: (スコア:0)
必要条件と十分条件の違いを認識するのは重要かもしれんが
十分条件を満たせないのでやめましたではどこかの凋落国家と一緒だからな
ESレイモンド (スコア:0)
> 「十分な数の目玉があれば、すべてのバグは深刻ではない」という、いわゆるLinusの法則を引用し
ESレイモンドじゃなかったっけ
しかもこれは単なる願望であって、実証された事は無い
Re:ESレイモンド (スコア:3, 参考になる)
>ESレイモンドじゃなかったっけ
わいもそう思ったけど、
だって。
Re:ESレイモンド (スコア:3, すばらしい洞察)
「十分な数の目玉」というより、「すべてのバグ(は深刻ではない)」の方が見直されるべきだと思うのです。
クラッシュするとか機能が使えないことが目に見えて分かるバグは、発生頻度が稀でも「十分な目玉」があれば見つけられる。
一方で、深刻さが目に見えて分からないバグは「十分な目玉」があっても見つけにくい。
擬態したり寄生したり、虫にもいろんな種類がいるように、
バグにもいろんな種類があり、見つけ方も様々だという事なのでしょう。
Re:ESレイモンド (スコア:1)
ユニットテストの国際規格みたいなのがあればいいんでしょうね。完全にデファクトスタンダードで知ってなければバカにされるレベルの。そうじゃないと、ことテストに関しては車輪の再発明が多すぎてインセンティブが小さすぎるんだと思います。
一回テストを書けば、そのテストが10年、20年と使えて、さらに他のプロジェクトにも流用できて、ニワカでもコピペして使える、といった環境を整える必要があるんじゃないかな。今の単体テストは職人技すぎたり方言がきつすぎたりで、人間がシステムに合せる事態が多すぎます。
Re: (スコア:0)
国際規格ならデファクトとは言わない件について
Re: (スコア:0)
仰る通りで。
ユニットテスト自体を知らない人はまだまだいまして……。
私が前にいた職場では、誰もユニットテストを知りませんでした。
成果物の品質を上げたくてユニットテストを提案したら、誰も概念を理解してくれませんでした。
それでもワンマンでやってたプロダクトがあったので、そこでユニットテストを一人で細々と実施していましたが、ユニットテストの結果がエビデンスとして認められず、手動でテストをやり直す様な状況になり、ユニットテストの使用を諦めざるを得ない状況に。
さらに、その会社のお偉いさんはウォーターフォールこそ至高でアジャイルは例外なくクソだと根拠も無く思い込んでました。
さらにさらに、恐ろしい事にその会社は日本の割と大手に入るであろうSIの開発部門です。
どうしてこうなった。
Re:ESレイモンド (スコア:1)
近年のソフトウエアの巨大化で、十分な数もかなり大きくなっているのではないでしょうか?プログラムの規模nに対して、必要な目玉数がO(exp(n))のオーダーだったら…いや実際O(n)ではないと思うんですよ…
金が集まらないのは自業自得 (スコア:0, すばらしい洞察)
プロプラに対する敵意とヒッピーじみたイデオロギーから利用者から金をとってこなかった。
それに乗ったファンボーイも自由である事と無料である事を意図的に混同してオープンソースを喧伝した。
そりゃ今更金など集まらんわな。
今まで自分たちで技術力や労力をディスカウントしまくってたんだから。
Re: (スコア:0)
自業自得なのは分かったんで、OpenSSLと同程度に信頼できるプロプラのライブラリを教えてください。
PGPは今はシマンテックが持っているんでしたっけ?PGPの問題ではないけど、
主力商品がIEをクラッシュさせる程度の技術力のところが管理する暗号化ライブラリは使いたくないなあ。
Re: (スコア:0)
ダンピングのせいでプロプラ製品が存在しないってことじゃないの。
Re: (スコア:0)
突然別の話初めてどうした?
頭大丈夫か?
そのうち (スコア:0)
「十分な資金を大衆や企業から安定して継続的に供給される、社会に馴染んだ仕組みを持つ、大規模で持続的な組織があれば、すべてのバグは深刻ではない」
とかになるんでないかな。
Re: (スコア:0)
「十分な数の開いた目玉があれば、すべてのバグは深刻ではない」で事足りる。
Re:そのうち (スコア:1)
どうせなら、目を見開いているだけじゃなく、曇りなき眼(まなこ) [google.co.jp]を持つテスターを選抜して雇おう。
それで、すべてのバグは深刻じゃないと思える気がする。
Re: (スコア:0)
目玉があっても閉じてるとか、実は節穴だったとか... 表現の仕方ではなく実際そうだから悲しい
Re: (スコア:0)
目を開かせておくために資金が必要だとわかった、ってことですからね。
どっちがいいだろう? (スコア:0)
団体に資金提供してエンジニアの給料にすべきか、バグ発見者への報酬にするべきか。
後者の方がより多くの目に晒されそうだけど、前者の方がそもそものバグを減らせるか。
Re: (スコア:0)
目玉が必要、と言ってる通り、必要とされてるのはデバッグでしょう。
ただここでいってるのは、あとで一般ユーザーの報奨金を出すことでなく、
開発時のエンジニアのデバッグのことと思われる。
金が無いからデバッグしないソースが放流されるのだ、と。
正直言って (スコア:0)
"オープンソースだから"という理由でオープンソースを利用している企業がどれだけあることか
本音は"使用料がゼロだから"だろう(オープンソースと無料はイコールじゃないとかそんなのは日本の企業だけだろって反論はあるだろうが)
それで金を集めようとしても、まあ出すのは大手だとか急成長中で金がある会社だけだろうね
塵も積もればで世界中の個人有志から集めるとしても数多くのプロジェクト全てはまかなえないのでは
Re: (スコア:0)
一応ソースが確認できるからというのは意外と大きいですよ。
かゆいところに手が届かないソフトがいろいろあるなかで、頑張ればなんとかなるというのは採用するのに十分な理由となります。
Re: (スコア:0)
BSDライセンスのプロダクトは組み込み系で結構使ってるんでないの。
GPLは敬遠する向きもなくはないけどさ。
では将軍様、資金を見積もってみてください (スコア:0)
その十分な資金とやらがおいくら兆円になるのかを見積もれなかったり
実際に集められない限り、なーんの役にmp立たんお話だな。