パスワードを忘れた? アカウント作成
4854 story

IPAがオープンソースソフトウエアのセキュリティ調査報告をドラフトとして公開 38

ストーリー by GetSet
判り易さがありがたい 部門より

momokuri 曰く、 "情報処理振興事業協会セキュリティセンター(IPA/ISEC)から、オープンソースソフトウエアに関する調査報告のドラフトが公表された。
この調査は、IPAが日本総合研究所に調査させたもので、オープンソースソフトウエアのセキュリティ監査の技術や運用面を中心として調べたもの。 技術的にはあまり新しい知見を得るようなものではない(とおもう)が、このように平易に説明されたことは意味があろう。
また、各国政府の政策についての調査を行っており、電子自治体関連ビジネスに携わっている人にとっては必見となるかもしれない。 IPA/ISECはコメントを広く求めている。"

「ドラフト版の段階から公開することで、広くご意見を戴き、報告書に反映させていきたい」とのこと。前向きで好印象ではないだろうか。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • C700 から投稿のテストという名目で降臨。

    /.JP は、しばらく見ないうちに議論がなくなり、 なんでもとりあえずダメダメというのがはやってますか。

    途中段階での公開をお願いした一人です。 お願いが効いたのか分からないけど、すばらしい第一歩だと 考えています。

    みて、判断して議論ではないでしょうか。 印象のぶつけ合い? はおもしろいのかな。

    こういうセクタにはソースコードが流通する意義がないのかもしれん。 どうせ印象だけで判断するのだから...という傍証が得られ、 本報告書のどこかには役に立つでしょうか。

    • by momokuri (4128) on 2003年01月31日 12時44分 (#247825) ホームページ 日記
      第II部 検査技術の調査 を通読しました。 とりあえず、1箇所typoを発見しました。タレコミでは技術的新知見はなさそうな印象を書きましたが、単なる資料調査に終わらず、技術評価部門が行うようなモデルへ適用してのプロダクト評価比較が行われ、オープンソースソフトウエアへの適用に適しているツールを推奨しています。わりと骨太の調査報告になっており好感を持ちました。
      親コメント
  • by saitoh (10803) on 2003年01月30日 17時10分 (#247205)
    ですが、報告書の表紙の発行月が「2003年2月」になってますね。 数字がJISX0201とJISX0208混成。
  • トピックタイトルみて、OSSとそうでないソフトウェアに おけるセキュリティホールの発生率とかそういう調査なの かと思っちゃったよ。 ソースコード検査ツールのところは俺も参考になった。 「利用者」の立場からみたものでなく、 「開発者」の立場から見た調査もほしかった。 まぁ、それだと趣旨から外れるかもしれんが。
  • by Anonymous Coward on 2003年02月03日 14時58分 (#249949)
    本ドラフトの中でも、ある意味、政府関係機関であるIPAらしいと思えたのは、各国政府の取り組みをまとめたところ。知識としてはslashdotなどのニュースで知っていることについて、いくつかの知見、示唆を与えてくれる内容となっている。

    取組状況を5通りのケースに分けて分類しているところなど、これまでにない見方で面白い。

    ところで、提言のなかに、「3.オープンソースソフトウエアの評価モデル」を作成すべしというのがあるが、なかなか面白い。誰がどのようにお墨付きを与えるか。セキュリティ面もあわせて、重要なことだ。そして、提言9として、「コストモデルの作成」を挙げているが、私はこの提言は深堀が足りないと思う。オープンソースソフトウエアのイノベーションのジレンマ的破壊的側面を見ていないように思う。オープンソースソフトウエアを使うと本当にコストが安いのか?という視点で提言していると思うが、産業振興の立場として、「ソフトウエアやソフトウエアプロダクト、システムの価格」はどうあるべきであり、その中で商用プロダクトなり、オープンソースソフトウエアは「どう値段付けされるべきか」を検討していただきたい。

    IT産業は電機メーカのリストラ等の影響で、いまやソフトウエア・SI産業へと大きくシフトしてきているが、無形資産(インタンジブル・アセット)としてのソフトウエア開発やシステムマネジメントの価値と市場原理に基づく価格形成は、まだまだ道半ばといわざるを得ない現状からは、オープンソースソフトウエアの妥当な価格形成がどうあるべきか、お先真っ暗といった感を禁じえないのである。

    人月の積み重ねからの価格形成では、オープンソースの真の価格は決められず、真のコストも見えないのではなかろうか。

    さらに加えて、大学との産学協同推進との関係も考慮していないのが残念である。多くのオープンソースソフトウエアが大学から生まれてきていることを考慮すると、産学協同との関連も研究していただきたいところだ。1兆円にも届こうかという日本のソフトウエアの貿易不均衡・貿易赤字を考えても、ソフトウエア産業の国際競争力の強化とオープンソース・ソフトウエアは重要なテーマとなると思うのです。

    立場上若干やばいのでACにて
  • by Anonymous Coward on 2003年01月30日 17時59分 (#247252)
    株式会社 [jri.co.jp](1989年に社名変更)」をちゃんとつけましょう。 財団法人日本総合研究所(1969年設立 [jri.or.jp])と区別がつかないので。
    • 財団法人と株式会社が同一名称というのは何か法的な問題がありませんかね。商慣習上は問題だと思いますが。グループ内で内紛が起きたとき、財団法人が裁判に訴えれば勝つ...かな。
    • ふたつあったのか…初めて知った。
      文化関係からコンピュータまで色々やってるなーと思ってたよ。
  • by Anonymous Coward on 2003年01月31日 11時14分 (#247781)
    「技術的には新しい知見を得られるものではない」そうですが、コード検査の手法って具体的には何も知らなかったです。
    色々あるんですねぇ。
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...