パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenOffice.org V2.0に重大なセキュリティホール、だが・・・」記事へのコメント

  • 2ヶ月前に同じことを書きましたが、 [srad.jp]
    主要N言語版を同時リリースできるまで英語版を遅らせる、という戦法しか取りようがないと考えます。
    後は、セキュリティフィックスに関する議論をいかに非公開としておくか、というような、いかにも
    Mozilla プロジェクトが参考になりそうな課題があります。
    3ヶ月前に修正した問題が、ニュースバリューを持つ形で今になって表沙汰になるというのは、
    開発プロセスを改善すれば避けられるタイプの問題です、と言わざるを得ません。
    • セキュリティ関連はあまり詳しく追いかけていないのですが、
      いわゆる「フルディスクロージャー」の理念って最近は廃れているんでしょうか?
      --

      /K
      親コメント
      • OpenOffice.org みたいに何百万というユーザを取りに行く製品の場合、
        主要言語の修正版のバイナリが公開されて、それから暫く経って、
        大きな影響が出ないタイミングで脆弱性情報を開示するというのが理想的です。
        ソースとバイナリの公開はたぶん同時になりますが、脆弱性の修正だけでなく
        ソースには多数の変更点があって、どれが脆弱性に関わるのか容易には分からない
        ようになっている、という状態を一時的には作り出す必要があります。
        後日、完全に開示することとは矛盾しないと思いますが。
        親コメント
      • by Anonymous Coward on 2007年01月05日 13時41分 (#1086726)
        この場合問題視されるのはフルディスクロージャーとなるタイミングでしょう。
        影響範囲やある程度複雑なものになるとやっぱり大変なのかも。
        開発者とユーザーが近いとか影響範囲が軽微なら有る程度すぐオープンにしてもOKでしょう。
        しかし相手が「自分で入れた」とか「更新」という概念が薄い普通の一般人が多数を占めるようになると、
        複数のプロダクトを持っているはずなのに、1つのプロダクトで解決しただけで他の製品はまだまったく同一の問題が未解決という状況とか、
        大半のユーザーがまだ更新していない状態でどのように攻略するかという方法を公開しちゃうのは開発元の対応としてはイケてないのではないですかね?
        自分本位で客の事をまったく考えてないような印象が。
        自分がメインの言語のプロダクト以外は知らないし、安全性関連の印象によるシェアなんて要らないって状況ならそれもアリでしょう。

        完全開示したいなら全言語の対応が終わってからとか詳細を開示すれば有る程度問題ないわけですし。
        Firefoxなんかがそんな対応してますよね。

        # すぐ開示しても結構大丈夫だったのは古き良き牧歌的な時代だったなのかもと思うのでAC
        親コメント
    • by Anonymous Coward on 2007年01月05日 16時10分 (#1086809)
      > 後は、セキュリティフィックスに関する議論をいかに非公開としておくか、というような、いかにも
      > Mozilla プロジェクトが参考になりそうな課題があります。

      Bugzillaでのやりとりは見られませんが、Bonsaiで修正コードはまる見え
      しかもコメントから非公開バグに関する修正であることまでバレますので、
      隠すことに関してはそれほど参考にならないかと。

      # あそこのプロダクトを安全に使いたいなら、安定ブランチのナイトリー
      # ビルドを追いかけるくらいは覚悟するのが吉。英語版になりますが。

      隠すよりもリリースごとに修正バグを公表することや旧バージョンの
      メンテナンスに反映させるやり方を参考にすべきでしょうけれど、
      まず各国語版が揃いませんとしようがありませんわね。
      親コメント
    • by Anonymous Coward on 2007年01月05日 16時21分 (#1086814)
      既にそういう体制になっていると思いますよ。
      N=1であり、それが英語なだけで。

      Nを増やしても「何で○○語が入ってないんだ」ともめるだけかと。
      # 全部にする?
      親コメント
      • >Nを増やしても「何で○○語が入ってないんだ」ともめるだけかと。

        間違っても日本語は主要言語に含まれないと思います。

        もし含まれたとしても、その理由は「日本人は英語が分からないから」
        という、実に恥ずかしい理由だったりするから素直に喜べないな。
        • あまり卑下するのはよろしくないと思います。
          使用人口という、日本語にとって必ずしも有利でない尺度で比較するとこうなります。
          1. 中国官話 (Mandarin Chinese) 882M
          2. スペイン語 326M
          3. 英語 312M
          4. ヒンディー語 182M
          5. ポルトガル語 179M
          6. ベンガル語 173M
          7. ロシア語 146M
          8. 日本語 128M
          9. ドイツ語 96M
          10. 呉語 (Wu Chinese) 78M
          但し "CIA World Factbook 2005" の孫引きです。

          一方で、経済活動にもとづいて言語を選択するということも重要です。
          例えば Apple Computer は、必ずしも世界中でコンピュータを売っている訳ではありませんが、
          通常は日本語を含む15言語に対応しています。さらに絞り込むときは、ドイツ語、英語、
          フランス語、日本語という4言語にのみ対応しています。(さらに、開発ツールは英語でしか
          使えないことが多々ありますが、日本語で使うソフトウェアの開発には支障ありません。)

          無料のオフィススイートである OpenOffice.org の場合には、Apple ほど「お金持ちシフト」をしく
          必要はないと思いますが、やはり、コンピュータを買える程度のお金持ちがたくさん使っている
          言語に対応することが効果的です。
          親コメント
        • 米国人は英語しか知らないからとてつもなくはずかしい?

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...