オープンソース化は品質を保証するものではない 63
ストーリー by headless
品質 部門より
品質 部門より
taraiok 曰く、
ハッカーによるジープの遠隔操作問題や、フォルクスワーゲンの排気ガス試験不正問題について、ソフトウェアのオープンソース化を義務付けることで解決できると主張する専門家もいる。しかし、この考えに対してBen Cotton氏は疑問を呈している(OpenSource.comの記事、 Slashdotの記事)。
オープンソースでも意図しないバグが発見されずに存在し続けることはHeartbleedやShellshockの脆弱性で明らかになっている。オープンソース化によるソフトウェアの公開精査には明確なメリットがあるが、コードの可視性は品質を保証するものではないとのことだ。
ただし、オープンソース化により実際に動作しているソースコードの内容を確認する手段が得られることは、自動車がオープンシステムとなり、携帯電話やモバイルインターネットサービスに接続するようになっていくにつれ重要性を増していくとのことだ。
みんな大好きKen Thompsonバックドア (スコア:5, おもしろおかしい)
例の不正をやるフォルクスワーゲンなら公開するソースと実際の自動車に搭載するバイナリは別のものになる。
Re: (スコア:0)
オープンソース化の議論をするなら、公開するソースと実際の自動車に搭載するバイナリが同一のものであるということを保証する手段の議論とセットじゃないといけないでしょうね。
ソースコードのすべてを把握できる連中など (スコア:2)
世界に何人もいないだろう。そいつらが21世紀の貴族主義を築いていくのだ。
Re: (スコア:0)
世界中の人々が労働時間の9割を自分が持ってる製品のソース検証に費やす社会が来るかもしれませんよ
ピンキリ (スコア:1)
オープンソースという括りが先ずもって大きすぎる。
玉石混交すぎてそのかなには見つかる脆弱性も見つからない脆弱性もある。
見つかる条件の一つだろうけど、ほかにも利害関係や人気とかいろいろ理由が考え付く。
そういうものと同レベルで有効というならわかるが。
Re: (スコア:0)
社会的立場や社会からの信頼に価値を見いだしている個人もしくは集団が、その価値の担保としてソースコードを公開するときなら、まあ有効?
Re:ピンキリ (スコア:1)
チェックする立場の人に見せれば有効。
オープンソースでもたまたまその立場と同質の人に渡れば有効。だからピンキリ。
見せる方の立ち位置とか関係ある?
作為的なバックドアが晒されるだけでも良しとすべきでは? (スコア:1)
「オープンでも意図せぬバグはわからない」ってそりゃあ、
ソース見れるだけでわかるバグなら開発者が直すでしょ。
クローズドな方が脆弱性がバレないという意見もはたしてどうですかね。
今時はコード解析よりファジングの方が一般的でしょうし。
Re:作為的なバックドアが晒されるだけでも良しとすべきでは? (スコア:1)
「何か問題があった時にソースを調べることができる」は確実(のハズ)ですが、
「ソースを調べれば問題点が分る」は確実ではないですもんね
Re:作為的なバックドアが晒されるだけでも良しとすべきでは? (スコア:1)
ソース見れるだけでわかるバグなら開発者が直すでしょ。
えっ!?
# 政治上・商売上の都合でわかっていても直せない(直させてもらえない)バグというのもあるのです…
## OSSの話ではありません
Re: (スコア:0)
そういう意図をもった処理なら、それはもうバグでなく仕様でしょう。
# 茶々にマジレス
Re: (スコア:0)
いや、コードを見れば一瞬でわかるような条件分岐をやってたのを、何年にもわたる検査と巨額の研究費でみつけたわけだから、その反論はおかしい。
Re: (スコア:0)
>コードを見れば一瞬でわかるような条件分岐
これと、
>何年にもわたる検査と巨額の研究費
これのソースを希望。
VWの件だとしたら、後者はそれほど時間かかってないよ。内容からして、費用も大してかかってなさそう。
前者はまだ公表されてない。
Re: (スコア:0)
それってバグじゃなくて、タイトルにあるような「作為的なバックドア」でしょ?
オープンだったら「コードを見れば一瞬で」バレるんだから、それだけでも良しとすべきって話でしょ?
「作為的でない、意図せぬバグはオープンにしたって見つけにくい」という記事の反論に対して
「そんなの当たり前じゃん」と突っ込んでるだけでしょ?
何だか全く噛み合ってないんですが。
何を今更 (スコア:1)
オープンソース化は品質を保証するものではないって、そんな当たり前のことはみんな分かってるよね。
品質を保証するのは、検証にどれだけコストをかけるか。
排ガス不正の件だって、走行時の排ガス検査はコストがかかるからやらなかっただけで、調べれば簡単に分かったこと。
コードを検証するにしたって、オープンソースにする必要は無く、検査機関の要望に応じて開示する仕組みがあれば良いでしょう。
オープンソースにすれば品質が上がるって幻想も、車のソフトをスマホ/PCと似たものだと誤解してるから発生するのかな。
スマホ/PCはCPUで動くコードはオープンソースになっても、その先のセンサやマイコンの仕様/コードはオープンにならないよね。
車ではCPUよりも、その先のセンサやマイコンの機能・割合が大きいので、CPUのコードをオープンソースにしたって品質が上がる割合がとても小さい。
センサ等の部品も全部オープンソースにしろって? 部品作る側にメリットが無いと無理でしょう。
オープンソースが成功してるのは、作る側にも再利用できるメリットがある分野だけであって、自分たち以外にコード書いてくれない部品をオープンソースにする意味が無いです。
Re: (スコア:0)
いやいや分かってない人は物凄く多いから。
狂信的にオープンソースを支持する人などはオープンソースであることは安全かつ高品質であると本気で思い込んでいる
Re: (スコア:0)
誰を相手に戦ってるの?10年前からタイムスリップしてきたの?
オープンソースに関わる大多数の人は、オープンソースソフトウェアにもバグがあることを知っている。
だって、いろんなオープンソースプロジェクトのバグ登録システムには、多数のバグが登録されてて、
プロジェクトの関係者はその解決に取り組んでるんだもん。
Re: (スコア:0)
つまり、狂信的にオープンソースを支持する人は、オープンソースに関わっていない、ということですね。
Re: (スコア:0)
オープンソース化は品質を保証するものではないって、そんな当たり前のことはみんな分かってるよね。
#2910160 [opensource.srad.jp]みたいに、分かってない人はやっぱりいる。
「○○はオープンソースだから□□より安全」は飛躍し過ぎであり、そのように論じるべきではないという老婆心に満ちた忠告が
いまひとつ理解できないのはこのACばかりではないだろうね。
Re: (スコア:0)
お前最近スラドに粘着してる片言の中国人Apple信者だろ?
全く合致する要素がない。なんでApple。
煽る意識ばかりが先行して人を説得しうる説明が何一つ用意されていない。もう少し心に余裕を持ってコメントして欲しい。
Re: (スコア:0)
オープンソース化は品質を保証するものではないって、そんな当たり前のことはみんな分かってるよね。
スラドは分かって無い奴の巣窟だと思ってる。
Re: (スコア:0)
問題は、タレこみにもあるように、
> ソフトウェアのオープンソース化を義務付けることで解決できると主張する専門家もいる。
というような、専門家気取りの素人、イデオロギー的にオプソを推進したい輩が嘘を広めていること。
Androidを見てれば分かるだろう (スコア:1)
オープンソースだって、利用法が下手ならかえって危険。
Re: (スコア:0)
アンドロはメーカー・キャリアが管理者であるという問題なのであって
オプソの問題ではないだろ
ルート取らないとキーアサインも書き換えられない有様で確かに不便だが
じゃあエンドユーザーがみんな管理者権限持ってても安全かというとそうでもないな、みたいな
いやいや・・・。 (スコア:0)
オプソを義務付ければ検査をすり抜けるようなソフトウェアはすぐ露見するだろ。
まずそれじゃないのか?
Re:いやいや・・・。 (スコア:1)
露見はするが、すぐではないと思うよ。
Re: (スコア:0)
でも、露見するじゃん。
方法の1つではある。
Re: (スコア:0)
露見もするわけがない。
公開されたものが、使われてるものと等しいことを、
第三者は保証できない。
そして仮に使われているものが本当に公開されているとして、
閾値とかのパラメータをソース中にハードコートされているわけがない。
Re: (スコア:0)
そのソースからビルドしてインストールするだろ
検査なんだから
Re: (スコア:0)
そもそもWIんどwsですら、金払えばソース見られるのに
今時なんの意味が
そんなチェックするようなやつならかねだしてでもやるだろうに
Re: (スコア:0)
露見だけなら結果検証で十分なのでは?
オープンショースの利点は第三者による
メンテナンスができることなんじゃないんですかね
露見を論点としている時点で的を射ていないかも
ドライバの先の回路でどう扱われるかを
データシートなしでソースだけ見てエスパーするのはしんどいよ
デバッグを期待されても・・ (スコア:0)
オープンソースで公開したからって、わざわざ面倒なデバッグをする人は少ないよ。
自分が使う機能についてはチェックするけど、使わない機能については動かしもしないし、何か発見したからって関係ない機能についてはわざわざ報告までするのも面倒なんだよね。
すべての機能に問題がないことを保証するような、そんなテスト要員なんてお金もらってもやりたがる人が少ないだろうに
それを無償でやるわけないよ。
Re: (スコア:0)
商用のオープンソースソフトウェアはそれなりにデバッグされてますね。
//個人で開発しているソフトのシェアなんてたかが知れているので(例外はある)脆弱性があっても問題ない
単なる詐欺極論 (スコア:0)
最近こういうの多いですね。
Appleに代表されるプロプラ独裁大好き企業がカネ出してるんでしょうけど、
「とはいえクローズドよりはオープンソースのほうが安全にはなるだろう」という指標は立ちます。
これが重要ということを切り捨ててるまさに詐欺極論です。
Re: (スコア:0)
>「とはいえクローズドよりはオープンソースのほうが安全にはなるだろう」という指標は立ちます。
それでも行き過ぎじゃないかな。
「クローズドよりはオープンソースのほうが問題が有るか手元で確認が可能にはなるだろう」位。
もしくは、「とはいえクローズドよりはオープンソースのほうが安全にする事が容易に可能」でしょう。
手元にソースが有れば原因を容易に確認できる。
プロプラでも、契約でソースコードにアクセス可能ならそれで足りてしまうメリットですね。
自分以外の第三者にも公開されているなら、利用前に専門家に確認してもらわないと、静的解析で見つかるような酷い
Re: (スコア:0)
パソコンであれば兎も角、自動車とかそんな分野まで同じ事が言えるんだろうか。
果たして「オープンソースだから安全」と皆が自分でビルドした制御ソフトをいれるか?バカバカしい。そんなことができる人間は一握りだ。
ましてやわざわざソースコードとして公開されてるものと、自分の車に導入されてるものが同じかどうか調べるのだって簡単じゃない。
# 更に言うなら誰でも自動車の制御ソフトを読み書きできるなら、今度はそれを使った犯罪のリスクが上がると思うんだが
# ソースだけオープンにしても製品にインストールされてるのがそれと同じか検証できなければオープンソースである意味はないし
Re: (スコア:0)
> 今度はそれを使った犯罪のリスクが上がると思うんだが
だよねぇ
公開して安全!となるよりも公開して馬鹿が事件を引き起こす危険性のほうが遥かに高いと思うわ
Re: (スコア:0)
勝手にユーザが改変したソフトで動く車…車検通らなそうですね。
車検通ったとしても、保険料いくらになるんだろう。
リスク想定できないし、通常の10倍でもきかなそう。無保険で乗るんだろうか。
Re: (スコア:0)
コードが誰でも見られることのメリットは大きいですよね
品質を保証するものではなくても
というか
品質が可視化されるというのが最大のメリットかも
スパゲッティコードに命預けるのはごめんですからね
Mozillaなんて寄贈されたコードの大半が廃棄されたんですよね
糞コードやコミュニティの荒れてるソフトには近づかなければいいだけの話
オプソなら安全なんじゃなくて
オプソなら見た目で、特に開発コミュニティの空気で、危険を察知出来るということだろ
Re: (スコア:0)
×:あなたはオープンソースコミュニティの工作員といったところ
○:あなたはオープンソースの狂信者といったところ
どんな宗教であれ、程よい信仰が生活に救いや潤いをもたらすとしても、狂信すれば周囲に被害を与えるだけの存在になる。
これはオープンソースでも同じであって、オープンソースの利点ばかりを強調したり、本来オープンソースという形態とは関係ない効能まで主張するようになればただの害悪。とはいえ本人はオープンソースが正しいと信じているし、正しいことをやっているつもりなのでなんら罪悪感はない。工作員ってのは非合法・倫理に反することを理解した上で仕事としてやる奴らだから、ちょっと違うんじゃないかな。
もちろん、だからといってオープンソースを否定する根拠にはならない。
(とはいえオープンソースを狂信する人間は否定され、技術者としてはリジェクトされるべきだとは思う)
挙動が怪しいと気付き手直しを試みるも (スコア:0)
挙動の怪しいところはやっぱりお気軽には手直しできないクソコードが絡み合ったジャングルとなってる
マーフィーの法則
Windowsもオープンソース化すればいいのに (スコア:0)
もうビジネスモデルも崩れて維持できなくなっているように見える
Re: (スコア:0)
個人向けは儲からないが企業向けならまだまだ儲かるのでソースコードを開示する意味はないでしょう。
Re: (スコア:0)
Windowsは何だかんだで環境が統一されているのが長所の一つだと思うので…。オープンソース化することで、ハードメーカー単位のカスタマイズがはやったり、Ubuntu VS Mintのようなプロジェクト分裂が起こるようになると、かえってWindowsの長所を殺してしまうような…。
プロプラ信者の戯言か… (スコア:0)
オープンソースでも意図しないバグが発見されずに存在し続けることはHeartbleedやShellshockの脆弱性で明らかになっている。
こういう適当なサンプリングは、まったくもって勘弁してほしいものです。
なるほど、Heartbleedや、Shellshockといったバグが存在し続けたのは事実ですし。
セキュリティの高さで有名な、かのOpenBSDでさえSynFloodに対する何の備えも持っていなかったという事実も有名ですね。
しかしながら、そんなことは大した問題じゃないわけですよ。
どうして大した問題じゃないかというと、例えばInterBaseがオープンソース化した際に脆弱性が発見されましたね?
誰でもリモートからあらゆるインスタンスに対し、特権モードでアクセスできるというとんでもない大穴が発見されたわけです。
そう、GoogleやAppleが人様のデバイスのアプリを勝手に削除したりできるのと同様のものが、遥か昔からInterBaseには存在していたわけですよ。
それをInterBaseからFireBirdへとオープンソース化する際にそれもそのまま公開してしまった。
プロプラエタリソフトってのはこういうもんです。
これが現実。
むしろオプソもプロプラも大して変わらんと、HeartbleedやShellshockの件を持ち出して叩くのならば。
未だにStagefrightパッチさえ当たってないどころか、アップデートすら放置されたAndroid端末がわんさかあるのは、一体全体どういうわけです?
Heartbleedの時も、Shellshockの時も、Stagefrightの時も、オプソの連中は即座に対応しましたよ。
「コードの可視性は品質を保証するものではない」などと嘯いてる間にとっとと対応してあげたらどうなんです?
Re: (スコア:0)
andoroidはオープンソースです。そこのところを間違えないようにお願いします。
Re: (スコア:0)
Androidはオープンソースなのにどうして即座に対応されないの?
だからここではオープンソース化さえすれば何とかなるというお花畑な意見が批判されてるんでしょ
Re: (スコア:0)
公開したからって見つかるとは限らん、という話をしているのに「見つかった後は即座に対応しましたよ」とか反論にすらなっていない
Re: (スコア:0)
2chだとこのくらいの騙り煽りはもう効かなくなってるんだけど、ここでならまだ有効と思って書いてるんだろうね。
あまり効いてないみたいだから他でやった方が良いと思うよ
オープンソースの欺瞞 (スコア:0)
・布教の時には「皆がソースを見るので品質も高く安全だ」と謳う
・それが機能していないことを指摘されると「品質を高めたりセキュリティを高めるため仕組みではない」とする
ネット上での別人格等、多目に見て、別人が言ってるのだろうけど、どちらかの見解に統一されないものかねぇ