パスワードを忘れた? アカウント作成
11931942 story
お金

十分な額の資金があれば、すべてのバグは深刻ではない? 55

ストーリー by headless
法則 部門より
2014年、オープンソースコミュニティーは重大セキュリティ問題に直面した。これについてLinux FoundationのJim Zemlin氏は、資金不足のプロジェクトに対する援助が必要との考えを示したとのこと( eSecurity Planetの記事本家/.)。

Zemlin氏は「十分な数の目玉があれば、すべてのバグは深刻ではない」という、いわゆるLinusの法則を引用し、「これらのケースでは実際に目玉が見ていなかったのだ」と述べたという。現在のソフトウェアは非常に複雑であるため、現在のソフトウェアセキュリティーは非常に難しいと述べ、援助の必要なプロジェクトには資金を提供する必要があるとしている。現在、Linux FoundationのCore Infrastructure Initiative(CII)ではNTPやOpenSSL、GnuPGに対する資金援助を行っており、対象プロジェクトは今後も増えることが見込まれる。なお、CIIでは資金援助に加え、Core Infrastructure Censusによるバグ発見の手助けと、すべてのオープンソースプロジェクトに適用可能なセキュリティーのベストプラクティス構築を3つの重要なイニシアチブと位置付けているとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by lm (47129) on 2015年02月22日 19時37分 (#2765778) 日記

    熱意と技術がある人を縛り付けておくだけの報酬として、フルタイムで雇えるお金は第一歩かね。

    セキュリティ界隈は当事者の義務感だけでもっているようなプロジェクトも多いから。

    • by Anonymous Coward

      むしろ誰も熱意をもってくれないタスクに
      人を割り当てるために金がいるんでしょ

      • by Anonymous Coward

        もう企業でいいんじゃないかな

      • by Anonymous Coward

        報酬による強制タスクだから企業ですね。普通に資本主義。
        興味を持って、改善していく状態ではなくなっているから。
        オープンソースで資金が必要という状態は企業移行のサインだと思うが。

        • by Anonymous Coward

          目玉を買うのにお金が要ると言ってしまうのなら、ただオープンであってもセキュリティの担保にはならないことを肯定したも同然ですね。
          まあ共通理解が一歩前進するのは良い事です。人類がまたひとり神を殺したというところでしょうかね。

        • by Anonymous Coward

          えっと、例えばApache Software Foundationのことをどのようにお考えで?

          • by Anonymous Coward
            「熱意をもってくれそうなタスクを選んでる財団」とか?

            どう言わせたかったのかわからないけど、
            ASFが拾えばこの問題が解決するのかね?
  • ここで言う機能とは、間接的でなく直接触れる機能のこと。
    異常系をしゃぶり尽くすユーザが「目」と言えるけど、開発者が想定済みのありきたりな使い方は「ふし穴」。

    セキュリティ関連の「目」となる機能の主な利用者はセキュリティホールを日夜探しているハッカーでしょう。
    一方で、ハッカーにとってセキュリティ問題を秘匿したほうがメリットがある場合が多い。
    ※ 善意の報告も冷たくあしらわれることもあるし、善意がないならなおさら……。

    セキュリティ問題に関しては、資金に関わるものとして2つの対策がある。

    1) 正しくセキュリティ設計するため、優秀なエンジニアを雇うこと
    2) なるべくセキュリティ問題を秘匿されないように、懸賞金をかけること

    • > 2) なるべくセキュリティ問題を秘匿されないように、懸賞金をかけること

      懸賞金なんて、裏の社会からの報酬から比べたら桁が違うでしょう。
      懸賞金ももちろんですが、賞賛や名声などの方がモチベーションとしては高いんじゃないでしょうか。

      まぁ、世の中には色々な人間がいるので、どういう風に正しい方向にモチベートしていくのかは大きな課題ですね・・・。

      親コメント
      • by Anonymous Coward on 2015年02月23日 12時24分 (#2766041)

        バグやセキュリティホールを埋め込むのは悪魔の所業であり、
        これを見付け出し対策することで神により来世での幸福を約束されるという宗教を立ち上げて信者を洗脳するというのはどうでしょう。

        新たな宗教戦争の火だねとなるリスクは伴いますが。

        親コメント
      • 嫌な世の中だ (スコア:2, すばらしい洞察)

        by Anonymous Coward on 2015年02月23日 1時06分 (#2765904)

        懸賞金の額が問題じゃなくて、犯罪者扱いしませんから安心して教えてね、って事を分りやすく示す一つの方法なんじゃないのかな

        親コメント
      • by Anonymous Coward

        職業ホワイトハッカーな人ですが、失職するリスクを考えればたかが1-2桁の違いに目が眩む人はいないでしょう。
        一生遊んで暮らせるだけの金が確実に手に入るなら挑戦する人はいるかもしれませんが、無理でしょ。

        一方、プライベートで研究するなら懸賞金つきが当然優先ですから、懸賞金は有効な方法といえるでしょう。

        なお、懸賞金つきと言いながら支払いを渋ると逆効果なので気をつけましょう、ミクシィさん。
        http://m-shiraishi.hatenadiary.com/entry/2014/05/11/224654 [hatenadiary.com]

  • 例の銀行のプロジェクトも全て丸く収まるってことさっ!!

  • by nim (10479) on 2015年02月22日 22時27分 (#2765865)

    「十分な」資金があったら、そもそも世の中のほとんどの問題は深刻ではないでしょ。

  • by Anonymous Coward on 2015年02月23日 3時54分 (#2765923)

    セキュリティリスクが深刻なバグと認識されないうちはよかった。

    だがセキュリティ脆弱性を全て排除してないことをバグと認定する今、
    そのすべてを目玉で管理するのは、資金をいくら積んでも不可能ではないか。

    そうしたリスクは結局、発見されたら潰すというイタチごっこに頼るしかない。

  • by Anonymous Coward on 2015年02月22日 19時42分 (#2765779)

    そろそろ必要条件と十分条件の違いを考えてから話そうぜ!

    その首の上に付いてるものは飾りじゃないんだしさ。

  • by Anonymous Coward on 2015年02月22日 19時49分 (#2765781)

    > 「十分な数の目玉があれば、すべてのバグは深刻ではない」という、いわゆるLinusの法則を引用し
    ESレイモンドじゃなかったっけ
    しかもこれは単なる願望であって、実証された事は無い

    • Re:ESレイモンド (スコア:3, 参考になる)

      by Anonymous Coward on 2015年02月22日 20時27分 (#2765806)

      >ESレイモンドじゃなかったっけ

      わいもそう思ったけど、

      http://ja.wikipedia.org/wiki/%E3%83%AA%E3%83%BC%E3%83%8A%E3%82%B9%E3%8... [wikipedia.org]

      リーナスの活動にインスパイアされたエリック・S・レイモンドがその論文「伽藍とバザール」で述べ著名となったリーナスの法則に「Given enough eyeballs, all bugs are shallow.(目玉の数さえ十分あれば、どんなバグも深刻ではない)」というものがある。

      だって。

      親コメント
    • Re:ESレイモンド (スコア:3, すばらしい洞察)

      by plauda (46850) on 2015年02月22日 21時15分 (#2765831)

      「十分な数の目玉」というより、「すべてのバグ(は深刻ではない)」の方が見直されるべきだと思うのです。

      クラッシュするとか機能が使えないことが目に見えて分かるバグは、発生頻度が稀でも「十分な目玉」があれば見つけられる。
      一方で、深刻さが目に見えて分からないバグは「十分な目玉」があっても見つけにくい。

      擬態したり寄生したり、虫にもいろんな種類がいるように、
      バグにもいろんな種類があり、見つけ方も様々だという事なのでしょう。

      親コメント
      • by Anonymous Coward on 2015年02月23日 2時18分 (#2765917)

        ユニットテストの国際規格みたいなのがあればいいんでしょうね。完全にデファクトスタンダードで知ってなければバカにされるレベルの。そうじゃないと、ことテストに関しては車輪の再発明が多すぎてインセンティブが小さすぎるんだと思います。

        一回テストを書けば、そのテストが10年、20年と使えて、さらに他のプロジェクトにも流用できて、ニワカでもコピペして使える、といった環境を整える必要があるんじゃないかな。今の単体テストは職人技すぎたり方言がきつすぎたりで、人間がシステムに合せる事態が多すぎます。

        親コメント
        • by Anonymous Coward

          国際規格ならデファクトとは言わない件について

        • by Anonymous Coward

          仰る通りで。

          ユニットテスト自体を知らない人はまだまだいまして……。
          私が前にいた職場では、誰もユニットテストを知りませんでした。
          成果物の品質を上げたくてユニットテストを提案したら、誰も概念を理解してくれませんでした。
          それでもワンマンでやってたプロダクトがあったので、そこでユニットテストを一人で細々と実施していましたが、ユニットテストの結果がエビデンスとして認められず、手動でテストをやり直す様な状況になり、ユニットテストの使用を諦めざるを得ない状況に。
          さらに、その会社のお偉いさんはウォーターフォールこそ至高でアジャイルは例外なくクソだと根拠も無く思い込んでました。
          さらにさらに、恐ろしい事にその会社は日本の割と大手に入るであろうSIの開発部門です。
          どうしてこうなった。

    • by Anonymous Coward on 2015年02月22日 20時23分 (#2765804)

      近年のソフトウエアの巨大化で、十分な数もかなり大きくなっているのではないでしょうか?プログラムの規模nに対して、必要な目玉数がO(exp(n))のオーダーだったら…いや実際O(n)ではないと思うんですよ…

      親コメント
  • by Anonymous Coward on 2015年02月22日 20時53分 (#2765816)

    プロプラに対する敵意とヒッピーじみたイデオロギーから利用者から金をとってこなかった。
    それに乗ったファンボーイも自由である事と無料である事を意図的に混同してオープンソースを喧伝した。

    そりゃ今更金など集まらんわな。
    今まで自分たちで技術力や労力をディスカウントしまくってたんだから。

    • by Anonymous Coward

      自業自得なのは分かったんで、OpenSSLと同程度に信頼できるプロプラのライブラリを教えてください。
      PGPは今はシマンテックが持っているんでしたっけ?PGPの問題ではないけど、
      主力商品がIEをクラッシュさせる程度の技術力のところが管理する暗号化ライブラリは使いたくないなあ。

      • by Anonymous Coward

        ダンピングのせいでプロプラ製品が存在しないってことじゃないの。

      • by Anonymous Coward

        突然別の話初めてどうした?
        頭大丈夫か?

  • by Anonymous Coward on 2015年02月22日 21時58分 (#2765851)

    「十分な資金を大衆や企業から安定して継続的に供給される、社会に馴染んだ仕組みを持つ、大規模で持続的な組織があれば、すべてのバグは深刻ではない」

    とかになるんでないかな。

    • by Anonymous Coward

      「十分な数の開いた目玉があれば、すべてのバグは深刻ではない」で事足りる。

      • by plauda (46850) on 2015年02月23日 20時22分 (#2766301)

        どうせなら、目を見開いているだけじゃなく、曇りなき眼(まなこ) [google.co.jp]を持つテスターを選抜して雇おう。

        それで、すべてのバグは深刻じゃないと思える気がする。

        親コメント
      • by Anonymous Coward

        目玉があっても閉じてるとか、実は節穴だったとか... 表現の仕方ではなく実際そうだから悲しい

        • by Anonymous Coward

          目を開かせておくために資金が必要だとわかった、ってことですからね。

  • by Anonymous Coward on 2015年02月22日 23時42分 (#2765882)

    団体に資金提供してエンジニアの給料にすべきか、バグ発見者への報酬にするべきか。
    後者の方がより多くの目に晒されそうだけど、前者の方がそもそものバグを減らせるか。

    • by Anonymous Coward

      目玉が必要、と言ってる通り、必要とされてるのはデバッグでしょう。
      ただここでいってるのは、あとで一般ユーザーの報奨金を出すことでなく、
      開発時のエンジニアのデバッグのことと思われる。
      金が無いからデバッグしないソースが放流されるのだ、と。

  • by Anonymous Coward on 2015年02月22日 23時52分 (#2765885)

    "オープンソースだから"という理由でオープンソースを利用している企業がどれだけあることか
    本音は"使用料がゼロだから"だろう(オープンソースと無料はイコールじゃないとかそんなのは日本の企業だけだろって反論はあるだろうが)
    それで金を集めようとしても、まあ出すのは大手だとか急成長中で金がある会社だけだろうね
    塵も積もればで世界中の個人有志から集めるとしても数多くのプロジェクト全てはまかなえないのでは

    • by Anonymous Coward

      一応ソースが確認できるからというのは意外と大きいですよ。
      かゆいところに手が届かないソフトがいろいろあるなかで、頑張ればなんとかなるというのは採用するのに十分な理由となります。

    • by Anonymous Coward

      BSDライセンスのプロダクトは組み込み系で結構使ってるんでないの。
      GPLは敬遠する向きもなくはないけどさ。

  • by Anonymous Coward on 2015年02月23日 8時47分 (#2765952)

    その十分な資金とやらがおいくら兆円になるのかを見積もれなかったり
    実際に集められない限り、なーんの役にmp立たんお話だな。

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...