パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Ruby 1.8.3 リリース」記事へのコメント

  • 枝バージョン (スコア:1, 参考になる)

    by Anonymous Coward
    新バージョンはいろいろ改造されているのですね。
    脆弱性だけ直した枝バージョンを出してくれないと、
    アップデートできないんですけど・・・。
    • by Anonymous Coward on 2005年09月22日 11時19分 (#802830)
      枝じゃなくても、1.8.2を元に脆弱性だけ修正したものを1.8.3として出し、本来1.8.3に予定していた内容は1.8.4に回せばいいのにと思う。安心して置き換えができないのでは対処にならない。

      レポートを見ると脆弱性の報告を受け修正方法を知ったのは9月2日のようだから、それをここまで引っ張っ(て1.8系の最新コードベースをリリースし)たのは通常のバージョンアップに紛れ込ませたい(隠匿という意図はないにしても、自分のペースを乱されたくない)という考えがあったからだろう。

      自分の都合をユーザの脆弱性対処より優先した、明らかな本末転倒だと思う。案の定、プレビューバージョンでの検証も拙速に過ぎ、その挙げ句Rubyにとって重要なアプリケーションの一つRailsがこの問題とは全く関係ない変更により動かないなどの問題が報告されている。

      Microsoftならいざ知らず、オープンソースの開発では脆弱性が報告されたらそれに対処するだけの枝バージョンなり次バージョンなり、そうでなくても現バージョンへのパッチを出すのがイディオムと言えるのではないか。

      なお、メーリングリスト中ではNetBSDのpkgsrcメンテナからリクエストを受けて1.8.2に対するパッチが公開された([ruby-dev:27267])。なぜかアーカイブにはこのメールだけ欠落している。NetBSDのpkgsrcにはpatch-ad [netbsd.org]として同一内容が登録済なので、パッチが欲しい人はこちらを参照。

      今回のケースは他の開発者も他山の石とすべきだと思う。

      親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...