パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

総務省の『オープンソース』とは」記事へのコメント

  • というのが、総務省の考える「オープンソース」らしいですね。

    すでに存在する、意味の定まった言葉を、別の意味で使うことによって混乱の元を作るようなことを、しないでほしいものです。

    そのわりには

    河野氏個人としては、基本的には「フリーソフト的なもの」を応援すべきだと考えているという。

    というふうに、「フリーソフト」という言葉が持つ意味は万人に共通で混乱の余地はないと考えているらしい。Windows/Macintosh の世界で言う「フリーソフト」の大部分はソース

    • by Anonymous Coward on 2002年10月27日 18時49分 (#190443)
      >ソースコードを公開したOSのほうがセキュアなのだ

      公開したからセキュアだ、と言うのは安直過ぎるのでは?
      公開してあっても、誰も検証しなければ無意味。

      発見されてからの修正が早いという人もいるが、
      発見ではなく「発覚」の間違いですね。
      問題が発覚するまでに何年もかかっていれば、
      それもまた無意味。

      また、安易な修正が新たな穴を作る可能性だって当然考えられる。
      しかも、その安全性は誰も保障してくれない。
      実はバックドアが隠されていたとしても、
      誰も文句は言えない。

      そう考えると、
      公開していようがいまいが、
      大きな差はないことが分かる。
      「セキュアに運用する」
      ことが何百倍も大事なことも同時に分かると思うのですが。

      「~だから安全」と言うのは信者の妄想レベルだと思う。
      そして、その安直な考えがセキュリティを脅かしていると思うのですが。
      親コメント
      • by ksada (4435) on 2002年10月27日 21時21分 (#190494)
        >> 公開したからセキュアだ、と言うのは安直過ぎるのでは?

        ソースがなければ検証工程が増えすぎるというのが一つ。また、「公開されていること」は充分条件ではなく必要条件と考えるべきじゃないでしょうか。つまり、公開の対極はソースのないコードではなく解析が禁じられたコードなのではないかと。

        >> 「セキュアに運用する」
        >> ことが何百倍も大事なことも同時に分かると思うのですが。

        どんなデタラメなコードでも運用さえ気をつければ安全、て主張かなぁ。どっちも大事でそ。
        親コメント
      • GPLなものやオープンソースなものを私的に扱っている(残念だけど仕事にまではできていない)人間として一言。

        ソースがオープンにされていて、誰でも変えて公開出来るって言うのは、ソフトを扱う側か らすると非常に大きな事なんですよ。
        おかしな挙動を示した時や、挙動に不安があるときに、容易に変えて試す事ができ 、考察が間違ってなければ世間に出せる。
        こういう事や監査が容易って事は軽く見られがちなんだけど、実際にソフトを 書いて公私ともにやってる側からするとソースが読めれば誰でもわかるようになってい るって事は凄い有難い事なんですよ。

        公の側ではNDAとか絡んでしまっていて挙動のおかしいバイナリをそのままリンクしな いとダメな場合とかソースが公開できない場合とかあるのですが、こういうのって、非 常に神経使うんですよね。
        オープンになっていないと、どうしてもわからないときに「横の連係」もとりにくいで すしね。

        そういう事もあって、私の側ではNDAとか気にしなくてもいいように(多少苦労しても) するように心がけていますが、やっぱし、そのほうが「仕事」へのモチベーションはいいです(苦笑 )

        # ごめんなさい、私、プロプラなソフトには向かないのかも…>会社の皆さん

        親コメント
        • by Anonymous Coward
          GPLなものを仕事でも扱っている人間として一言。

          ソースをオープンにすることが強要されてて、変えたら公開しなけりゃならないっていうのは、仕事でやらされる側からすると非常に大きなことなんですよ。
          おかしな挙動を示した時や、挙動に不安があるときに、容易に変えて試す事ができ、実際に考察が間違ってなくてバグが見つかることもあるんです。
          これを修正してパッチを公開するとか本体に取り込んでもらうってことは軽く見られがちなんだけど、実際にソフトを書いて仕事でやってる側からするとすごく大変な事なんですよ。

          公の側ではNDAとか絡んでしまっていて挙動
      • >「~だから安全」と言うのは信者の妄想レベルだと思う。

        結局、最後に信じられるのは自分だけ。

        何かがあったときに「セキュアな筈じゃなかったのかよ!?」
        と叫んだところで、事実は何も変わらない。
        • 安全運用を心がけるのは当たり前ですが、
          >結局、最後に信じられるのは自分だけ。
          だからオープンソースのプロダクトを採用して、運用前には自分でソースレビューをしましょう!!という結論にならない不思議を、誰か愚鈍なボクに教えてやってください。
          親コメント
          • 実際にソースレビューをするのは,多くの人にとって時間的に不可能ですね。

            あと,「信じられるのは自分だけ」というけれど,自分を信じられるか
            どうかさえ怪しい。少なくとも私は,自分がソースレビューすること
            で安全性が確保できると思うほど自分のスキルに自身を持っていません。

            結局は誰か他の人を信用するしかないわけですが,その場合,信用する
            根拠が必要
          • >誰か愚鈍なボクに教えてやってください。

            わたしには分かりませんが、プロジェクトに使うからと信頼性を高める目的でレビューをしたという前例を聞いたことが無いです。
      • セキュリティにとってオープンソースは十分条件ではない、という議論は聞き飽きた。
        十分ではないにしても(セキュリティの運用方式によっては、)必要条件にはなる、という合意は得られないのだろうか?

        ある会社に責任追求して、それでセキュリティホールが必ず、すぐに、塞がればともかく、そういう行動をとれない会社が多すぎるからねえ。
        • by Anonymous Coward on 2002年10月28日 2時45分 (#190617)
          ×オープンソースだから安全である
          ×ソース非公開だから安全である

          ×オープンソースでは,安全なシステムを作ることは出来ない
          ×ソース非公開では,安全なシステムを作ることは出来ない

          ○オープンソースなシステムでも,一定水準以上の安全性は確保できる
          ○ソース非公開なシステムでも,一定水準以上の安全性は確保できる
          親コメント
          • ○「オープンソースなシステムでも,一定水準以上の安全性は確保できる」が、
                  マイナーなシステムでは誰もそれを証明してくれない
            ○「ソース非公開なシステムでも,一定水準以上の安全性は確保できる」が、
                  誰もそれを証明できない
            親コメント
            • ○「オープンソースなシステムでも,一定水準以上の安全性は確保できる」が、
              マイナーなシステムでは誰もそれを証明してくれない。
              でもやれば何とかなると思われてるから自分でソースを紐解くはめになり、毎晩徹夜で地獄を見る。
              ○「ソース非公開なシステムでも,一定水準以上の安全性は確保できる」が、
              誰もそれを証明できない。
              だから何もしなくても文句も言われない。

              さあ、お役所仕事の明日はどっちだ!!
              親コメント
            • >○「ソース非公開なシステムでも,一定水準以上の安全性は確保できる」が、
              > 誰もそれを証明できない

              ダウト。

              バイナリを解析すれば誰も証明できる可能性があります。
              ソースコードにアクセスできる権利を所有していれば、証明できる可能性があります。
          • >○オープンソースなシステムでも,一定水準以上の安全性は確保できる
            >○ソース非公開なシステムでも,一定水準以上の安全性は確保できる

            それなら、合意する事も可能ですね。
        • >十分ではないにしても(セキュリティの運用方式によっては、)必要条件にはなる、という合意は得られないのだろうか?

          前提条件によって、合意するかどうかが変わると思うので、
          逐次確認する必要があると思いますね。
      • by Anonymous Coward
        オープンなソースって、
        公開されていれば、「仕込み」ができないって事でしょ?
        それ以外あんまし利点は無いし。
        扱ってるデータを作為的に改竄していないってだけで、
        BUGや外部からのアタックに強いなんてメリットはぜんぜん無い。

にわかな奴ほど語りたがる -- あるハッカー

処理中...