アカウント名:
パスワード:
レポートを見ると脆弱性の報告を受け修正方法を知ったのは9月2日のようだから、それをここまで引っ張っ(て1.8系の最新コードベースをリリースし)たのは通常のバージョンアップに紛れ込ませたい(隠匿という意図はないにしても、自分のペースを乱されたくない)という考えがあったからだろう。
自分の都合をユーザの脆弱性対処より優先した、明らかな本末転倒だと思う。案の定、プレビューバージョンでの検証も拙速に過ぎ、その挙げ句Rubyにとって重要なアプリケーションの一つRailsがこの問題とは全く関係ない変更により動かないなどの問題が報告されている。
Microsoftならいざ知らず、オープンソースの開発では脆弱性が報告されたらそれに対処するだけの枝バージョンなり次バージョンなり、そうでなくても現バージョンへのパッチを出すのがイディオムと言えるのではないか。
なお、メーリングリスト中ではNetBSDのpkgsrcメンテナからリクエストを受けて1.8.2に対するパッチが公開された([ruby-dev:27267])。なぜかアーカイブにはこのメールだけ欠落している。NetBSDのpkgsrcにはpatch-ad [netbsd.org]として同一内容が登録済なので、パッチが欲しい人はこちらを参照。
今回のケースは他の開発者も他山の石とすべきだと思う。
結局、
ftp://ftp.ruby-lang.org/pub/ruby/1.8/1.8.2-patch1.gz [ruby-lang.org]
としてRuby 1.8.2へのパッチが公開されています。(xmlrpcへのセキュリティ修正も含まれています。)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
枝バージョン (スコア:1, 参考になる)
脆弱性だけ直した枝バージョンを出してくれないと、
アップデートできないんですけど・・・。
安定した脆弱性対処を優先したリリースを慣行に (スコア:2, すばらしい洞察)
レポートを見ると脆弱性の報告を受け修正方法を知ったのは9月2日のようだから、それをここまで引っ張っ(て1.8系の最新コードベースをリリースし)たのは通常のバージョンアップに紛れ込ませたい(隠匿という意図はないにしても、自分のペースを乱されたくない)という考えがあったからだろう。
自分の都合をユーザの脆弱性対処より優先した、明らかな本末転倒だと思う。案の定、プレビューバージョンでの検証も拙速に過ぎ、その挙げ句Rubyにとって重要なアプリケーションの一つRailsがこの問題とは全く関係ない変更により動かないなどの問題が報告されている。
Microsoftならいざ知らず、オープンソースの開発では脆弱性が報告されたらそれに対処するだけの枝バージョンなり次バージョンなり、そうでなくても現バージョンへのパッチを出すのがイディオムと言えるのではないか。
なお、メーリングリスト中ではNetBSDのpkgsrcメンテナからリクエストを受けて1.8.2に対するパッチが公開された([ruby-dev:27267])。なぜかアーカイブにはこのメールだけ欠落している。NetBSDのpkgsrcにはpatch-ad [netbsd.org]として同一内容が登録済なので、パッチが欲しい人はこちらを参照。
今回のケースは他の開発者も他山の石とすべきだと思う。
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:1)
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:2, 興味深い)
穴すら直ぐに塞がないのかよと。
俺mswin32のバイナリー版使っているけど、flockのロックを解除できない問題が出てもスナップショットの使うしかなかったし、予定されていた安定板のリリースの時に俺は穴の存在を知った。安定版のリリース追っても安心して使えないのかよと。
1.8系だと500ちょっとしかファイル開けない。ソケットだと2つ消費するので250ちょっと。
1.9系は2000ちょっとファイル開けて、ソケットでも1つしか消費しないので同じく2000ちょっと行ける。
だから、1.9系をテスト的に使っていたんだけど、穴問題があるのにスナップショットのバイナリー版出てないから、仕方なく1.8.3に戻した。
穴があるのに放置プレイ。
頻繁に出して「不具合あれば一つ前のでも使え」がベストなんじゃないの?
で、安定版リリースですら、穴を次回リリースまで放置。
言語を使うときに、言語の中身について深く考えずに使いたい。そう言った奴が安定版リリースを使うんじゃないの?
仕事で使う奴も、安定版リリースを使うよね。
「安定」しているから「安心」して使うのだろ。
穴を直ぐに塞がないリリース版って、俺には方針が理解出来ない。
リリース版を提供する頻度を少なくするために、穴の放置もじさないと言う方針なのだろうか?
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:1)
責任を負わされるのではなく自ら負う必要があるのでは?
fork して公開することは可能であっても、利用する側が確認・
検証する手間が大幅に増える訳なので、結局のところ大元が気
をつけるようにする方が皆幸せになれるでしょう。
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:0)
--
まつもと ゆきひろ /:|)
.....とかいうことになったりして。
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:0)
そんなどこの馬の骨かわからんような奴が作ったものなんかつかえねーよ。
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:1, おもしろおかしい)
実際去年の終わり頃だったかな、xrbというRubyのforkを [rubyist.net] はじめた人が [rubyist.net] いらっしゃった [rubyist.net]わけですが、彼自身の熱しやすく冷めやすい性格が幸いして長続きしませんでした。
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:0)
実際去年の終わり頃だったかな(以下略)
このリンクはわざわざ顔写真を三段活用で見せるためのもの?(笑)
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:1)
結局、
としてRuby 1.8.2へのパッチが公開されています。(xmlrpcへのセキュリティ修正も含まれています。)
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:0)
1.8.4に予定していた1.8.3の内容を1.8.5に...って、無限ループしませんか?
オープンソースソフトウェアなんだから、バージョン番号って関係ないんじゃないの?
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:1, 参考になる)
そういやRubyってLinuxとかGNOMEと同じで2桁目が奇数=開発版、偶数=安定版という位置付けになっていたはずだが、次の安定版は1.10.xではなく1.9.x、すなわち今の開発版と同じになるのよね。
Re:安定した脆弱性対処を優先したリリースを慣行に (スコア:0)
Re: 枝バージョン (スコア:1)
http://blade.nagaokaut.ac.jp/cgi-bin/scat.rb/ruby/ruby-dev/27267
とでも、なりそうなところが。
まあRubyのrelengがアレなのは周知の事実だしな (スコア:1, おもしろおかしい)
740 名前:デフォルトの名無しさん[sage] 投稿日:2005/09/17(土) 15:40:48
1.8.3は無事リリースされますか?
741 名前:デフォルトの名無しさん[sage] 投稿日:2005/09/17(土) 16:27:39
1.8.3は無事リリースされるけど、それを手にするお前らは無事ではない。
742 名前:デフォルトの名無しさん[sage] 投稿日:2005/09/17(土) 16:39:11
>>741
爆笑
技バージョン (スコア:0)
#なんか職人臭がして凄そうではあるが
Re:技バージョン (スコア:0)
#数年前のネタなのでAC