パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

揺るがされるオープンソースセキュリティーの理想」記事へのコメント

  • > 人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか。

    「オープンソースコミュニティーを信頼するしかない」のは「その製品について勉強しないこと」が大前提の場合。

    仮に 1000人に一人が「勉強する」事を決めたとしよう。
    この場合、勉強することを決めた人は、コミュニティーを信頼する「必要はない」わけだ。

    これは別の見方をすると、この1000人は「1/1000 の確率でコミュニティを信頼する必要はない」ということになったといえる。

    しかしクローズドソースの場合、10人に一人が「勉強する」事を決めたとしても、結局クローズドソースソフトを創った人たちを信頼するしか無い。つまり「0の確率でソフトを創った人たちを信頼する必要はない」と表現出来る。

    完璧なる0と、「ほんの少しでも0.0よりは大きい」のとを同じ扱いにするのは如何なものか、と思う。

    --
    fjの教祖様
    • by Anonymous Coward on 2014年10月19日 15時10分 (#2696139)

      「人々がオープンソースコミュニティーを信頼するしかないとしたら」が前提なんだから、そんなこと言ってもしょうがないよ。

      「人々がオープンソースコミュニティーを信頼するしかないとしても、クローズドソフトとはここが違う」と言わないと

      親コメント
      • by Anonymous Coward

        すべての「人々がオープンソースコミュニティーを信頼するしかないとしたら」が前提なら、そうですよね。

        ただ、現実は信用できないと思ったソフトウェアの改変が全くできないクローズドソースのソフトウェアとは違い、オープンソースのソフトウェアは改変できる可能性があり、少ない割合ではあるにせよそういう改変を行う人たちもいるわけです。

        #「すべての都民が電車しか使わないなら、車は不要なのではないだろうか」とかと同じ、結論ありきの言い回しですよね、コレ

        • by Anonymous Coward

          で、その理屈がOpenSSLの脆弱性をどうフォローできるのさ
          理想と現実の話なのに、理想論だけ語られても「で?」にしかならんでしょって事なんだけど

          • by Anonymous Coward

            で?
            だれもオープンソースであれば絶対安全とは言わなかったのに、なんで一つの脆弱性にフォローしなければならないの?

        • by Anonymous Coward

          結論ありきっていうか、現実ありきの話でしょ。
          現実として知識を提供できる人は限られるし、現状チェックの目は行き届いていないわけだから。
          そういう状況がすぐに改善する見込みもないよね、実際問題としてさ。

          • by Anonymous Coward

            可能性がゼロか、限りなく少ないかもしれないけどゼロじゃないかの違いをどう捉えるか、ってことでしょ。

            そんなの実際違わないだろ、と考えればクローズドソースと変わらないと言えるし。

    • by Anonymous Coward

      コミュニティという集合知に頼らず、独力でセキュリティ上の問題を論じれる程全貌を把握するなんてまず不可能
      仮にそれができるというなら、クローズドソースでも頑張ればバイナリから挙動を把握することはできる

      結局、脆弱性がわかりやすいか、わかりにくいかしか違いはない

      --
      クローズドソースじゃ会社が個人がやる気なければ直らないが、オープンソースでもコミュニティが不活性なら直ることはない
      どちらにしても、どこかの誰かが作った野良パッチを自己責任で当てるしかない

    • by Anonymous Coward

      ユーザー全員が上級プログラマーにならないのが悪いというのなら、オプソくそくらえってなると思います。
      MSにお金を払って買ったほうが全然マシ。

      ソフトを使う上で勉強をせずに、その分空いた多くの時間を別の事に費やすことができる代わりにMSにお金を払う。
      一方で、多くの時間を勉強に割くことで、他の事をする時間が大幅に削られるがお金はかからない。

      現代社会では「時間」=「お金」なので、どっちが高いか。

      Libreofficeを使う上で、ソースコードをバッチリ読めるように勉強するコストが何万円に相当する時間を要するのか、想像してみたまえ。
      たぶん、一生分のMS-Officeに払う金額よりも高いよ。

    • by Anonymous Coward

      勉強がどの程度のものなのかわからないけど、bashやOpenSSLの勉強をしていたであろう人たちがたくさんいただろうにも関わらず
      何年も見逃されてきた脆弱性が存在していた。

      これだけでも「信頼する必要がない」という話には無理があるのでは。
      勉強したってすべてを見渡せる訳ではない。そもそも脆弱かどうかを勉強する訳でもない。
      自分がみた部分以外は他の優秀なエンジニアが作業してくれた部分を信頼して使ってるんでしょう。

      コードが見れなくたってテストはできる。
      クローズドソースソフトも問題があるかどうかは第三者が報告できるし、実際に報告されている。

      クローズドではグレーとしていまう事象もオープンソースではソースが見れるので改修したり原因まで突き止める余地がある。
      影響調査や同じような事象のチェックもオープンソースではより多くの目で行われる。
      そういった違いは間違いなく存在するのだけど、すべてのコードをくまなく見てから使う訳ではないのだからまだ見てない部分は結局信頼するしか無いと思う。

物事のやり方は一つではない -- Perlな人

処理中...