パスワードを忘れた? アカウント作成
13425688 story
ソフトウェア

「ソースコードを自社開発することでOSS由来の脆弱性を排除した」というDNSサーバー 70

ストーリー by hylom
なにかあったときに地力が問われる 部門より
あるAnonymous Coward 曰く、

XACKが、独自に開発したDHCPサーバーやDNSサーバーを搭載するアプライアンスサーバーを販売開始している(IT Leadersプレスリリース)。

昨今ではDNSサーバーの脆弱性が狙われるトラブルが多いが、同社はDNSサーバーを自社開発することで、「オープンソースのソースコードに由来する脆弱性問題とは無縁」と主張している。また、「細心の注意を払った設計と実装を行うことで、OSS製品を凌駕する、圧倒的な高速処理性能を誇ります」とのこと。

確かにOSS由来の脆弱性は排除されるが、脆弱性が無くなるわけではないと思うのだが……。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • XACKってもともとRadius屋さんらしくて、スクラッチで高速Radiusサーバを作ったら、次はDNSサーバを作りたくなるのはまあ自然というか、気持ちはわかります。

    まだDNSSEC未対応らしいんですけど。

  • by Anonymous Coward on 2017年10月06日 18時20分 (#3291915)

    じゃないかなぁ...
    新しく書き起こしたコードのほうがバグや性能に問題の多い場合がほとんどのだと思うけど
    ※絶対に無いとは言わないし、ライセンスが理由としても黙って流用するよりはずっと良い

    • by Anonymous Coward

      修正BSDライセンスで困ることってあるんでしょうか。

      GPL排除したいというなら分かるんですけど。

    • by Anonymous Coward

      > ライセンスが理由としても黙って流用するよりはずっと良い

      自社開発しましたと嘘をついて流用していた事例もあるんだよなあ。

  • by Anonymous Coward on 2017年10月06日 19時05分 (#3291933)

    「仕様です」

  • by Anonymous Coward on 2017年10月06日 22時12分 (#3292033)

    BINDだとそれもアリかもと思ってしまうぐらいにはBINDに憎しみを抱いている人も多いはず…

  • by Anonymous Coward on 2017年10月06日 18時18分 (#3291913)

    脆弱性はOSSであるかどうかによって存在するのではなく、脆弱性が存在しないことが証明されない限り必ず存在するものである。脆弱性が存在しないことを証明するのは、悪魔の証明である。自己満足の世界でしかない。

    • by Anonymous Coward on 2017年10月06日 18時35分 (#3291922)

      どんなソフトウェアにも脆弱性はある、という前提で。
      攻撃側からしたら、「脆弱性を探すコスト」をできるだけ下げつつ、「攻撃できるターゲットが多い」方が効果が望めるので。

      つまりオープンソースかどうかではなく、単に「普及すればするほど狙われる」以上の話ではないし、だから「普及率が低い新製品」は、そういう意味では確かに有利ではある。

      親コメント
      • by Anonymous Coward

        近頃は標的型攻撃というのがありまして

        • by Anonymous Coward on 2017年10月06日 22時09分 (#3292031)

          近頃は標的型攻撃というのがありまして

          で?

          標的型であれば、使用しているソフトがプロプラだろうがオープンソースだろうが、普及率が高かろうが低かろうが、狙われる確率は大差ないし、この話題には関係ないと思うんだが。

          親コメント
          • by Anonymous Coward

            狙われる確率は大差ないかもしれないが、普及率が高いほうが脆弱性の情報は上がってきやすかろうよ

            • by Anonymous Coward

              上がる先がどちらになるかは不明ですけどね

              # 普及している分高く売れそうだし、
              # 重大な障害が見つかり修正版が公開されてもそれが適用されるのに何ヶ月かかることやら

    • MTAであるQMail [wikipedia.org]の作者が開発した、djbdns [cr.yp.to]を思い出しましたよ。
      まぁ、がんばってね…(´・ω・`) としかいえないですが。

      --
      --暮らしの中に修行あり。
      新しいblogはじめました。 [hateblo.jp]
      親コメント
      • qmailですな。
        qmailもdjbdnsも、今そのものを見ると「あんなキワモノ」という評価かも知れませんが、いずれも競合ソフトにセキュアであることの大切さを気付かせたものだったように思います。がんばったというより、結果を出したソフトたちですね。

        親コメント
      • by Anonymous Coward on 2017年10月07日 22時08分 (#3292384)

        qmailやdjbdnsも「柔軟性?協調性?なにそれおいしいの」というdjb氏の性格を体現したような偏屈なソフトではあったが、
        脆弱性の低さという点ではみごと公約通りの実績を叩き出してくれたじゃないか。

        親コメント
    • by Anonymous Coward

      悪魔の証明かどうかはともかく、証明しようと思ったら脆弱性を数学的に定義しないといけないな。

      • by Anonymous Coward

        ハードウェアに起因する脆弱性は含めるか。
        リンクしている標準ライブラリ等の脆弱性は含めるか。
        DDoSアタック耐性が弱いのは脆弱性に含めるか。(リソースを占有しすぎて他のプロセスの穴を突かれるとか)
        まあ色々ありそうですな。

      • by Anonymous Coward

        結局、モデルとはプログラムで、仕様はモデルを作るための曖昧模糊とした何かなんですよね。
        仕様をモデルと同じ精細度で書いても意味ないので、曖昧模糊とは、それで良いそれ以外に有り得ない
        精細度では有るのですが、
        問題は、それを合意の正文書としてしまっていることで、
        いくらでも、仕様バグの湧き出す策源地と化している以上、証明は原理的に無理。

        何をやっても、虎を屏風から出すのは誰だの話しでおわってしまう!

    • by Anonymous Coward

      やはりここは「脆弱性ゼロ」を公約に新党をですね…

      • by Anonymous Coward

        どうせ「私はAIです」とかいいながら反故にするんでしょ

  • by Anonymous Coward on 2017年10月06日 18時25分 (#3291918)

    どうしてもシニカルな目線でコメントしたくなるけども、そもそもOSS全盛になる前はみんなそれぞれ独自開発してた訳だから、改めて考えたら特に斬新では無いけども…まぁ、この言い方は、単に時流を意識した営業トークだよね。

    #Human-68Kの解説書がまだ家にある世代の私です。

    • by Anonymous Coward

      これが営業トークになってしまうことが問題なのでは…。とりあえずこの会社にはぜひdogfoodingしてもらいたい。

    • by Anonymous Coward

      営業トークってのはまさにそうだろうね。実のところOSSを使わない事が珍しいかと言えばそれほどのことではない。
      本当に力のあるメンバーがコンパクトでカリカリにチューニングされたプログラムを書こうと思ったら、
      OSSが…というか既存のプログラムが自然に落とされるのも不思議ではない。

      「オープンソースのソースコードに由来する脆弱性問題とは無縁」は何とも趣深い言い回しだなあ。
      ただ単純に当前の事を言っているだけでもあるし、OSSの信頼性のレベルを実際指摘しているものでもある。
      OSSのソースコードは平均的なプログラマの出力するプログラムよりは遥かに優れているものが多いが、
      新しい知識を持った最も優秀な開発者とテスターに報酬を支払って出力されたプログラムには劣るものも多いだろう。

  • by Anonymous Coward on 2017年10月06日 18時45分 (#3291926)

    ソースコード読んで探している人もいるかもしれないが、
    とりあえず総当りで大きい値を入れてみよう、みたいな方法で探す人もいると思うんですよね。

    • by Anonymous Coward

      ものがDNSですしねえ、実環境で多々飛んでくるとんでもないクエリーにされされてバトルプルーフされてないとあまり信用がおけませんよね
      まずXACK社は自社のドメイン運用をその製品でやってみてどうだったかを出すべきでしょうね

    • by Anonymous Coward

      そりゃあ静的解析もファジングもどっちだってアリでしょうよ。

  • by Anonymous Coward on 2017年10月06日 18時45分 (#3291927)

    OSSにタダ乗りするなんて誰でも出来る
    フルスクラッチで開発できてこそ云々

    • by Anonymous Coward

      でもお高いんでしょう?

    • by Anonymous Coward

      (由来の)脆弱性がないとは言ってるけど、
      バグがないとは言ってないし。
      コードは、昔の捨てて書き直せば早くはなるだろ。

      • by Anonymous Coward

        プレスリリースはそうなんだけど、IT Leadersの記事は

        脆弱性を修復するパッチの適用といった運用管理から解放される。

        って書いちゃってるんだよね。

      • by Anonymous Coward

        BIND10、昔のコード捨てて、速くなったかってそうでもなくて、結局廃棄されていまBIND9.12作ってるんですね。なんだったんでしょう、BIND10って。

  • by Anonymous Coward on 2017年10月06日 19時26分 (#3291939)

    Windows アップデートで来るバグ修正はいいバグ修正

    • by Anonymous Coward

      yum update
      apt get update
      で来るバグ修正はいいバグ修正

      • by Anonymous Coward

        どっちみちアップデートできないじゃないですかーやだー。

    • by Anonymous Coward

      そりゃオープンソースはメンテナがいることを意味しないからな

    • by Anonymous Coward

      メンテが保証されているのは改めて考えると凄いよね。やっぱOSSは駄目だわ。

  • by Anonymous Coward on 2017年10月06日 19時55分 (#3291953)

    脆弱性探す手間が惜しいぐらいのシェアと場所でひっそりと使う分にはありかもよ。

  • by Anonymous Coward on 2017年10月06日 20時21分 (#3291964)

    そこまで自信があるなら是非、ハッキングコンテストなり、検証付き脆弱性募集なりをやってもらいたいです。

    • by Anonymous Coward on 2017年10月07日 8時09分 (#3292115)

      それも開発形態がオープンになっていないと、何とでも言い訳して逃げられてしまうんですよね・・

      ずっと昔のことなのですが、とある商用ソフトウェアで脆弱性に対して懸賞金をかけていたプロジェクトがあって、
      きちんと再現手順までまとめて報告しても、
      「それは弊社内で既知の問題として報告されているので無効」
      「DOS(サービス拒否)攻撃は脆弱性ではない(??)ので無効」
      「それは運用で回避可能なので無効(ただし実際にはサービスを停止する以外の回避策はなかった)」
      などと言って懸賞金の支払いを渋りまくっていました。

      何度もやりとりしていると、その会社の弁護士を名乗る方から「恐喝として通報する」と脅されてしまいましたので、
      それ以降はやめておきましたが、オープンソースでないとしたら、こういった隠蔽に対する対策を公表していただきたいものです。

      親コメント
  • by Anonymous Coward on 2017年10月06日 20時33分 (#3291974)

    比較対象があのBINDだと思うと、それよりは安全な可能性も十分にあると思わざるをえない

  • by Anonymous Coward on 2017年10月06日 20時45分 (#3291982)

    サーバプログラムは独自だがOSはLinuxカーネル使っているとかだったら意味ないような気もするが

  • by Anonymous Coward on 2017年10月06日 22時21分 (#3292037)

    ソースコードを自社開発してもプログラムは動かない。
    コンパイル(Python 等のインタプリタ言語なら実行)して初めて動作する。
    第一、ソースコードに由来する脆弱性やbugがないソースコードを開発できるのか。
    sendmailの置き換えを狙ったqmailみたいな物か。
    BINDをいじくりまわすより新規に作成した方が楽かも?
    考えられる事は、公開されたソースコードが無けりゃ、bugや脆弱性を研究される可能性は少ないだけ。

  • by Anonymous Coward on 2017年10月07日 5時34分 (#3292088)

    運用実績と稼働期間を聞いてからかな

    脆弱性はないかもしれないけど、運用実績ないと導入の検討もできないんじゃないかな

    実績ないのを導入するぐらいなら素直にAWSとかで借りるのを検討した方が
    トータルコスト安そう

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...