アカウント名:
パスワード:
> 人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか。
「オープンソースコミュニティーを信頼するしかない」のは「その製品について勉強しないこと」が大前提の場合。
仮に 1000人に一人が「勉強する」事を決めたとしよう。この場合、勉強することを決めた人は、コミュニティーを信頼する「必要はない」わけだ。
これは別の見方をすると、この1000人は「1/1000 の確率でコミュニティを信頼する必要はない」ということになったといえる。
しかしクローズドソースの場合、10人に一人が「勉強する」事を決めたとしても、結局クローズドソースソフトを創った人たちを信頼するしか無い。つまり「0の確率でソフトを創った人たちを信頼する必要はない」と表現出来る。
完璧なる0と、「ほんの少しでも0.0よりは大きい」のとを同じ扱いにするのは如何なものか、と思う。
「人々がオープンソースコミュニティーを信頼するしかないとしたら」が前提なんだから、そんなこと言ってもしょうがないよ。
「人々がオープンソースコミュニティーを信頼するしかないとしても、クローズドソフトとはここが違う」と言わないと
すべての「人々がオープンソースコミュニティーを信頼するしかないとしたら」が前提なら、そうですよね。
ただ、現実は信用できないと思ったソフトウェアの改変が全くできないクローズドソースのソフトウェアとは違い、オープンソースのソフトウェアは改変できる可能性があり、少ない割合ではあるにせよそういう改変を行う人たちもいるわけです。
#「すべての都民が電車しか使わないなら、車は不要なのではないだろうか」とかと同じ、結論ありきの言い回しですよね、コレ
で、その理屈がOpenSSLの脆弱性をどうフォローできるのさ理想と現実の話なのに、理想論だけ語られても「で?」にしかならんでしょって事なんだけど
で?だれもオープンソースであれば絶対安全とは言わなかったのに、なんで一つの脆弱性にフォローしなければならないの?
結論ありきっていうか、現実ありきの話でしょ。現実として知識を提供できる人は限られるし、現状チェックの目は行き届いていないわけだから。そういう状況がすぐに改善する見込みもないよね、実際問題としてさ。
可能性がゼロか、限りなく少ないかもしれないけどゼロじゃないかの違いをどう捉えるか、ってことでしょ。
そんなの実際違わないだろ、と考えればクローズドソースと変わらないと言えるし。
コミュニティという集合知に頼らず、独力でセキュリティ上の問題を論じれる程全貌を把握するなんてまず不可能仮にそれができるというなら、クローズドソースでも頑張ればバイナリから挙動を把握することはできる
結局、脆弱性がわかりやすいか、わかりにくいかしか違いはない
--クローズドソースじゃ会社が個人がやる気なければ直らないが、オープンソースでもコミュニティが不活性なら直ることはないどちらにしても、どこかの誰かが作った野良パッチを自己責任で当てるしかない
ユーザー全員が上級プログラマーにならないのが悪いというのなら、オプソくそくらえってなると思います。MSにお金を払って買ったほうが全然マシ。
ソフトを使う上で勉強をせずに、その分空いた多くの時間を別の事に費やすことができる代わりにMSにお金を払う。一方で、多くの時間を勉強に割くことで、他の事をする時間が大幅に削られるがお金はかからない。
現代社会では「時間」=「お金」なので、どっちが高いか。
Libreofficeを使う上で、ソースコードをバッチリ読めるように勉強するコストが何万円に相当する時間を要するのか、想像してみたまえ。たぶん、一生分のMS-Officeに払う金額よりも高いよ。
勉強がどの程度のものなのかわからないけど、bashやOpenSSLの勉強をしていたであろう人たちがたくさんいただろうにも関わらず何年も見逃されてきた脆弱性が存在していた。
これだけでも「信頼する必要がない」という話には無理があるのでは。勉強したってすべてを見渡せる訳ではない。そもそも脆弱かどうかを勉強する訳でもない。自分がみた部分以外は他の優秀なエンジニアが作業してくれた部分を信頼して使ってるんでしょう。
コードが見れなくたってテストはできる。クローズドソースソフトも問題があるかどうかは第三者が報告できるし、実際に報告されている。
クローズドではグレーとしていまう事象もオープンソースではソースが見れるので改修したり原因まで突き止める余地がある。影響調査や同じような事象のチェックもオープンソースではより多くの目で行われる。そういった違いは間違いなく存在するのだけど、すべてのコードをくまなく見てから使う訳ではないのだからまだ見てない部分は結局信頼するしか無いと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
それは勉強しないこと前提のお話 (スコア:2, 参考になる)
> 人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか。
「オープンソースコミュニティーを信頼するしかない」のは「その製品について勉強しないこと」が大前提の場合。
仮に 1000人に一人が「勉強する」事を決めたとしよう。
この場合、勉強することを決めた人は、コミュニティーを信頼する「必要はない」わけだ。
これは別の見方をすると、この1000人は「1/1000 の確率でコミュニティを信頼する必要はない」ということになったといえる。
しかしクローズドソースの場合、10人に一人が「勉強する」事を決めたとしても、結局クローズドソースソフトを創った人たちを信頼するしか無い。つまり「0の確率でソフトを創った人たちを信頼する必要はない」と表現出来る。
完璧なる0と、「ほんの少しでも0.0よりは大きい」のとを同じ扱いにするのは如何なものか、と思う。
fjの教祖様
Re:それは勉強しないこと前提のお話 (スコア:1)
「人々がオープンソースコミュニティーを信頼するしかないとしたら」が前提なんだから、そんなこと言ってもしょうがないよ。
「人々がオープンソースコミュニティーを信頼するしかないとしても、クローズドソフトとはここが違う」と言わないと
Re: (スコア:0)
すべての「人々がオープンソースコミュニティーを信頼するしかないとしたら」が前提なら、そうですよね。
ただ、現実は信用できないと思ったソフトウェアの改変が全くできないクローズドソースのソフトウェアとは違い、オープンソースのソフトウェアは改変できる可能性があり、少ない割合ではあるにせよそういう改変を行う人たちもいるわけです。
#「すべての都民が電車しか使わないなら、車は不要なのではないだろうか」とかと同じ、結論ありきの言い回しですよね、コレ
Re: (スコア:0)
で、その理屈がOpenSSLの脆弱性をどうフォローできるのさ
理想と現実の話なのに、理想論だけ語られても「で?」にしかならんでしょって事なんだけど
Re: (スコア:0)
で?
だれもオープンソースであれば絶対安全とは言わなかったのに、なんで一つの脆弱性にフォローしなければならないの?
Re: (スコア:0)
結論ありきっていうか、現実ありきの話でしょ。
現実として知識を提供できる人は限られるし、現状チェックの目は行き届いていないわけだから。
そういう状況がすぐに改善する見込みもないよね、実際問題としてさ。
Re: (スコア:0)
可能性がゼロか、限りなく少ないかもしれないけどゼロじゃないかの違いをどう捉えるか、ってことでしょ。
そんなの実際違わないだろ、と考えればクローズドソースと変わらないと言えるし。
Re: (スコア:0)
コミュニティという集合知に頼らず、独力でセキュリティ上の問題を論じれる程全貌を把握するなんてまず不可能
仮にそれができるというなら、クローズドソースでも頑張ればバイナリから挙動を把握することはできる
結局、脆弱性がわかりやすいか、わかりにくいかしか違いはない
--
クローズドソースじゃ会社が個人がやる気なければ直らないが、オープンソースでもコミュニティが不活性なら直ることはない
どちらにしても、どこかの誰かが作った野良パッチを自己責任で当てるしかない
Re: (スコア:0)
ユーザー全員が上級プログラマーにならないのが悪いというのなら、オプソくそくらえってなると思います。
MSにお金を払って買ったほうが全然マシ。
ソフトを使う上で勉強をせずに、その分空いた多くの時間を別の事に費やすことができる代わりにMSにお金を払う。
一方で、多くの時間を勉強に割くことで、他の事をする時間が大幅に削られるがお金はかからない。
現代社会では「時間」=「お金」なので、どっちが高いか。
Libreofficeを使う上で、ソースコードをバッチリ読めるように勉強するコストが何万円に相当する時間を要するのか、想像してみたまえ。
たぶん、一生分のMS-Officeに払う金額よりも高いよ。
Re: (スコア:0)
勉強がどの程度のものなのかわからないけど、bashやOpenSSLの勉強をしていたであろう人たちがたくさんいただろうにも関わらず
何年も見逃されてきた脆弱性が存在していた。
これだけでも「信頼する必要がない」という話には無理があるのでは。
勉強したってすべてを見渡せる訳ではない。そもそも脆弱かどうかを勉強する訳でもない。
自分がみた部分以外は他の優秀なエンジニアが作業してくれた部分を信頼して使ってるんでしょう。
コードが見れなくたってテストはできる。
クローズドソースソフトも問題があるかどうかは第三者が報告できるし、実際に報告されている。
クローズドではグレーとしていまう事象もオープンソースではソースが見れるので改修したり原因まで突き止める余地がある。
影響調査や同じような事象のチェックもオープンソースではより多くの目で行われる。
そういった違いは間違いなく存在するのだけど、すべてのコードをくまなく見てから使う訳ではないのだからまだ見てない部分は結局信頼するしか無いと思う。