アカウント名:
パスワード:
「セキュリティーホールの発見者に賞金を出すよ」と発表することでソースコードを読める人が増えるかどうかは、よくわからないので安易に結論に飛びつくことは避けますが。
脆弱性を探すためだけにソースを読んでいるのは悪意の攻撃者で、 自分が悪用するためにだけ探していることが多いです。
そんなことはないのでは。「多い」という表現の捉え方の違いかもしれませんが。僕はソフトウェアのセキュリティーに興味があって、セキュリティーホールを探すためにソースコードを読んだことがあります。これによって「こいつ悪い奴じゃないの?」と判断されてしまうとしたら悲しいです。
OpenBSD では code auditing [openbsd.org] といって、特にバグが報告されているわけでもないコードを見直して、隠れたバグやセキュリティーホールを持つ個所を探すという習慣があります。
また、一般にソフトウェアのセキュリティーホールの発見者を見ているとソフトウェアセキュリティーを専門に扱う会社の社員であることがよくあります。そういう人は、ソースコードが公開されているソフトの場合、セキュリティーホールを探すためにソースコードを読むのではないでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
OSSもやればいいのに (スコア:1, すばらしい洞察)
せっかく公開されてても見る人が限定されてる状況下では非公開なのと大差ないので、多くの人に見る機会を与えることになって、それで脆弱性も見つかれば、一石二鳥。
Re: (スコア:2, すばらしい洞察)
ソースを理解する人間が増える→開発者も増える
一石三鳥
Re: (スコア:0)
使っているOSSが想定通りに動かないとか、誤動作するとか、
そいういう現象にぶつかったときに調べるためにその部分の
ソースを読むというケースがほとんどです。
正常に動作はするが脆弱性を抱えている部分に関しては、
ほとんど気づかれることはありません。
脆弱性を探すためだけにソースを読んでいるのは悪意の攻撃者で、
自分が悪用するためにだけ探していることが多いです。
ソースを理解できないものはソースを読むということすらしないので、
開発者になるというのもほとんどあり得ません。
開発にかかわっている人が、ソースを読むことでレベルアップする
ということはあると思いますが。
セキュリティーホールを探すためにソースコードを読むこと (スコア:1)
「セキュリティーホールの発見者に賞金を出すよ」と発表することでソースコードを読める人が増えるかどうかは、よくわからないので安易に結論に飛びつくことは避けますが。
そんなことはないのでは。「多い」という表現の捉え方の違いかもしれませんが。僕はソフトウェアのセキュリティーに興味があって、セキュリティーホールを探すためにソースコードを読んだことがあります。これによって「こいつ悪い奴じゃないの?」と判断されてしまうとしたら悲しいです。
OpenBSD では code auditing [openbsd.org] といって、特にバグが報告されているわけでもないコードを見直して、隠れたバグやセキュリティーホールを持つ個所を探すという習慣があります。
また、一般にソフトウェアのセキュリティーホールの発見者を見ているとソフトウェアセキュリティーを専門に扱う会社の社員であることがよくあります。そういう人は、ソースコードが公開されているソフトの場合、セキュリティーホールを探すためにソースコードを読むのではないでしょうか。