アカウント名:
パスワード:
すでに存在する、意味の定まった言葉を、別の意味で使うことによって混乱の元を作るようなことを、しないでほしいものです。
そのわりには
河野氏個人としては、基本的には「フリーソフト的なもの」を応援すべきだと考えているという。
というふうに、「フリーソフト」という言葉が持つ意味は万人に共通で混乱の余地はないと考えているらしい。Windows/Macintosh の世界で言う「フリーソフト」の大部分はソース
発注側とのすりあわせが出来ていないだけではないかと。 守秘義務の条項にGPLに関するものを盛り込んでおくべきなんでしょうね。 お客さんがNOというのなら、その仕事にGPLなソフトウェアは使用できないことをお客さんに理解してもらわないと。
有名な例はもういいですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
ソースが公開されてさえいればよい (スコア:1)
すでに存在する、意味の定まった言葉を、別の意味で使うことによって混乱の元を作るようなことを、しないでほしいものです。
そのわりには
というふうに、「フリーソフト」という言葉が持つ意味は万人に共通で混乱の余地はないと考えているらしい。Windows/Macintosh の世界で言う「フリーソフト」の大部分はソース
Re:ソースが公開されてさえいればよい (スコア:1, すばらしい洞察)
公開したからセキュアだ、と言うのは安直過ぎるのでは?
公開してあっても、誰も検証しなければ無意味。
発見されてからの修正が早いという人もいるが、
発見ではなく「発覚」の間違いですね。
問題が発覚するまでに何年もかかっていれば、
それもまた無意味。
また、安易な修正が新たな穴を作る可能性だって当然考えられる。
しかも、その安全性は誰も保障してくれない。
実はバックドアが隠されていたとしても、
誰も文句は言えない。
そう考えると、
公開していようがいまいが、
大きな差はないことが分かる。
「セキュアに運用する」
ことが何百倍も大事なことも同時に分かると思うのですが。
「~だから安全」と言うのは信者の妄想レベルだと思う。
そして、その安直な考えがセキュリティを脅かしていると思うのですが。
Re:ソースが公開されてさえいればよい (スコア:2, 興味深い)
ソースがなければ検証工程が増えすぎるというのが一つ。また、「公開されていること」は充分条件ではなく必要条件と考えるべきじゃないでしょうか。つまり、公開の対極はソースのないコードではなく解析が禁じられたコードなのではないかと。
>> 「セキュアに運用する」
>> ことが何百倍も大事なことも同時に分かると思うのですが。
どんなデタラメなコードでも運用さえ気をつければ安全、て主張かなぁ。どっちも大事でそ。
Re:ソースが公開されてさえいればよい (スコア:2, 興味深い)
ソースがオープンにされていて、誰でも変えて公開出来るって言うのは、ソフトを扱う側か らすると非常に大きな事なんですよ。
おかしな挙動を示した時や、挙動に不安があるときに、容易に変えて試す事ができ 、考察が間違ってなければ世間に出せる。
こういう事や監査が容易って事は軽く見られがちなんだけど、実際にソフトを 書いて公私ともにやってる側からするとソースが読めれば誰でもわかるようになってい るって事は凄い有難い事なんですよ。
公の側ではNDAとか絡んでしまっていて挙動のおかしいバイナリをそのままリンクしな いとダメな場合とかソースが公開できない場合とかあるのですが、こういうのって、非 常に神経使うんですよね。
オープンになっていないと、どうしてもわからないときに「横の連係」もとりにくいで すしね。
そういう事もあって、私の側ではNDAとか気にしなくてもいいように(多少苦労しても) するように心がけていますが、やっぱし、そのほうが「仕事」へのモチベーションはいいです(苦笑 )
# ごめんなさい、私、プロプラなソフトには向かないのかも…>会社の皆さん
Re:ソースが公開されてさえいればよい (スコア:0, 余計なもの)
ソースをオープンにすることが強要されてて、変えたら公開しなけりゃならないっていうのは、仕事でやらされる側からすると非常に大きなことなんですよ。
おかしな挙動を示した時や、挙動に不安があるときに、容易に変えて試す事ができ、実際に考察が間違ってなくてバグが見つかることもあるんです。
これを修正してパッチを公開するとか本体に取り込んでもらうってことは軽く見られがちなんだけど、実際にソフトを書いて仕事でやってる側からするとすごく大変な事なんですよ。
公の側ではNDAとか絡んでしまっていて挙動
Re:ソースが公開されてさえいればよい (スコア:1)
発注側とのすりあわせが出来ていないだけではないかと。
守秘義務の条項にGPLに関するものを盛り込んでおくべきなんでしょうね。
お客さんがNOというのなら、その仕事にGPLなソフトウェアは使用できないことをお客さんに理解してもらわないと。
Re:ソースが公開されてさえいればよい (スコア:0)
Re:ソースが公開されてさえいればよい (スコア:0)
モデレーションシステムの崩壊ここに極まれり。
Re:「余計なもの」ってのはね (スコア:0)
この時点でその二つのコメントは本質的に違うし、実際かなり違う状況を説明しているからねえ、冗長って言葉は何の説明にもなってない。
だいたい、
>ぱっと見には似たよ
Re:ソースが公開されてさえいればよい (スコア:0)
結局、最後に信じられるのは自分だけ。
何かがあったときに「セキュアな筈じゃなかったのかよ!?」
と叫んだところで、事実は何も変わらない。
Re:ソースが公開されてさえいればよい (スコア:3, 興味深い)
>結局、最後に信じられるのは自分だけ。
だからオープンソースのプロダクトを採用して、運用前には自分でソースレビューをしましょう!!という結論にならない不思議を、誰か愚鈍なボクに教えてやってください。
厳密には,自分を信用することすら出来ない (スコア:0)
あと,「信じられるのは自分だけ」というけれど,自分を信じられるか
どうかさえ怪しい。少なくとも私は,自分がソースレビューすること
で安全性が確保できると思うほど自分のスキルに自身を持っていません。
結局は誰か他の人を信用するしかないわけですが,その場合,信用する
根拠が必要
Re:厳密には,自分を信用することすら出来ない (スコア:1)
> その中の数人が問題点を指摘してくれるだろう」というのが根拠になると思います。
「信用できるA社にお金を払ってソースレビューをしてもらおう」も可能ですね。
Re:ソースが公開されてさえいればよい (スコア:0)
わたしには分かりませんが、プロジェクトに使うからと信頼性を高める目的でレビューをしたという前例を聞いたことが無いです。
Re:ソースが公開されてさえいればよい (スコア:0)
十分ではないにしても(セキュリティの運用方式によっては、)必要条件にはなる、という合意は得られないのだろうか?
ある会社に責任追求して、それでセキュリティホールが必ず、すぐに、塞がればともかく、そういう行動をとれない会社が多すぎるからねえ。
オープンソースはセキュリティ確保のための有力な選択 (スコア:1, 興味深い)
×ソース非公開だから安全である
×オープンソースでは,安全なシステムを作ることは出来ない
×ソース非公開では,安全なシステムを作ることは出来ない
○オープンソースなシステムでも,一定水準以上の安全性は確保できる
○ソース非公開なシステムでも,一定水準以上の安全性は確保できる
Re:オープンソースはセキュリティ確保のための有力な (スコア:2, 興味深い)
マイナーなシステムでは誰もそれを証明してくれない
○「ソース非公開なシステムでも,一定水準以上の安全性は確保できる」が、
誰もそれを証明できない
Re:オープンソースはセキュリティ確保のための有力な (スコア:1)
マイナーなシステムでは誰もそれを証明してくれない。
でもやれば何とかなると思われてるから自分でソースを紐解くはめになり、毎晩徹夜で地獄を見る。
○「ソース非公開なシステムでも,一定水準以上の安全性は確保できる」が、
誰もそれを証明できない。
だから何もしなくても文句も言われない。
さあ、お役所仕事の明日はどっちだ!!
Re:オープンソースはセキュリティ確保のための有力な (スコア:0)
> 誰もそれを証明できない
ダウト。
バイナリを解析すれば誰も証明できる可能性があります。
ソースコードにアクセスできる権利を所有していれば、証明できる可能性があります。
Re:オープンソースはセキュリティ確保のための有力な (スコア:0)
>○ソース非公開なシステムでも,一定水準以上の安全性は確保できる
それなら、合意する事も可能ですね。
Re:ソースが公開されてさえいればよい (スコア:0)
前提条件によって、合意するかどうかが変わると思うので、
逐次確認する必要があると思いますね。
オープンなソース (スコア:0)
公開されていれば、「仕込み」ができないって事でしょ?
それ以外あんまし利点は無いし。
扱ってるデータを作為的に改竄していないってだけで、
BUGや外部からのアタックに強いなんてメリットはぜんぜん無い。
Re:オープンなソース (スコア:0)
Re:オープンなソース (スコア:1)
有名な例はもういいですか?