アカウント名:
パスワード:
ビルド済みのバイナリを安心して使うためには、自分が信頼できるコンパイラで、マイクロソフト製品が使用してるビルド環境自体を構築しその上でマイクロソフト製品を再度コンパイルして、バイナリ一致する事を確認することが必要だと思うのですが、
この辺読むとその様なレベルである様には思えません。https://www.microsoft.com/en-us/twc/government-security-program.aspx [microsoft.com]
実際には「たくさんお金払ってるから大丈夫」的な気休めなのでしょうか?
(コンパイル)環境依存性の有るモジュールのためにVC6以前を稼働させてた、みたいな話も聞くし一式自前でビルドするのはまず無理なんじゃないかと…
開発に参加せず一方的に降ってくるコードをチェックってだけでも面倒なのに、Windowsとなればコードの量も尋常じゃないだろうからなぁ……
ビルド済みのバイナリを安心して使う(≒トロイの検出)は諦めたほうが良いかと。心配な部分の脆弱性調査とかパッチの作成補助に使うのが落とし所じゃないかなぁ…多くのモジュールは単品なら頑張ってビルドして差し替えも不可能じゃないだろうし、ビルドできなくてもソースが有るなら構造の目星つけて逆汗パッチもやりやすいし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
自分でビルド可能? (スコア:1)
ビルド済みのバイナリを安心して使うためには、
自分が信頼できるコンパイラで、マイクロソフト製品が使用してるビルド環境自体を構築し
その上でマイクロソフト製品を再度コンパイルして、
バイナリ一致する事を確認することが必要だと思うのですが、
この辺読むとその様なレベルである様には思えません。
https://www.microsoft.com/en-us/twc/government-security-program.aspx [microsoft.com]
実際には「たくさんお金払ってるから大丈夫」的な気休めなのでしょうか?
Re: (スコア:0)
(コンパイル)環境依存性の有るモジュールのためにVC6以前を稼働させてた、
みたいな話も聞くし一式自前でビルドするのはまず無理なんじゃないかと…
開発に参加せず一方的に降ってくるコードをチェックってだけでも面倒なのに、
Windowsとなればコードの量も尋常じゃないだろうからなぁ……
ビルド済みのバイナリを安心して使う(≒トロイの検出)は諦めたほうが良いかと。
心配な部分の脆弱性調査とかパッチの作成補助に使うのが落とし所じゃないかなぁ…
多くのモジュールは単品なら頑張ってビルドして差し替えも不可能じゃないだろうし、
ビルドできなくてもソースが有るなら構造の目星つけて逆汗パッチもやりやすいし。