Namazu 2.0.13リリース 64
ストーリー by GetSet
定番もののupdate 部門より
定番もののupdate 部門より
nasuda 曰く、 "Namazu Projectが、日本語全文検索システム「Namazu 2.0.13」をリリースしました。現在、同サイトにてダウンロード可能となっています。実に一年七ヶ月ぶりのリリースとなる同ソフトですが、今回のバージョンアップでは以下の強化が行なわれたとの事です。
- セキュリティ面の強化
- 対応文書形式を追加
- 関連ツールのバーションアップに対応
- 文書抽出制度の向上
- バグフィックス/新機能の追加
"今回のバージョンアップの詳細は、以下のようになっています。
- セキュリティ面の強化
- サーバーへ無理な負荷を与える複雑な正規表現検索への対策
- バッファオーバーフローの可能性がある箇所を修正
- 新機能の追加
- --check-filesize オプションを追加し、タイムスタンプが同一でもファイルサイズが異なるファイルを更新対象とする機能を追加
- --check-filesize オプションを追加し、タイムスタンプが同一でもファイルサイズが異なるファイルを更新対象とする機能を追加
- 対応文書形式を追加
- OpenOffice.org (Writer, Calc, Impress, Draw)文書
- 一太郎 ver.5~13/2004 文書
(doccatなしで利用できるフィルタを追加) - RTF文書
- Apache キャッシュファイル
- MP3ファイル
- PowerPoint スライドショー文書
- 関連ツールのバージョンアップに対応
- xpdf 2.02 以降に対応
- xpdf 3.00 の動作確認(PDF 1.5)
- wvWare 0.7.4~1.0.0に対応
- Microsoft Office 2003 に対応
- 文書抽出精度の向上
- インデックス中のノイズを削減
- HTML_ATTRIBUTES タグ属性(ALT/SUMMARY/TITLE)の削除機能を追加
- 文書に混ざる制御コードの削除を徹底
- e-mail に含まれる base64 コード等を除去
- HTML 文書でタグの属性(ALT/SUMMARY/TITLE)の重み付けを追加
- 平仮名のみの単語登録、送り仮名除去処理での不具合を解消
- Microsoft Office 文書内の半角カナの検索に対応
- Microsoft Word 文書の複数セクションに対応
- Adobe PDF 文書のプロパティに空データが設定されている場合に対応
- Macbinary ファイルを誤認してノイズが混ざる問題に対処
- インデックス中のノイズを削減
- バグフィックス、セキュリティホールの修正
- 下記の問題をはじめ多数の修正をしました
- 最大ヒット数の判定を誤るバグ
- フレーズ検索が誤動作するバグ
- 正しく強調表示、強調表示禁止ができないバグ
- HTML 文書でスコア計算を誤ることのあるバグ
- 下記の問題をはじめ多数の修正をしました
Estraier (スコア:3, 参考になる)
がオススメ。ヒットした検索語周辺の抜粋が標準で表示
されます。私はこれだけで Namazu から乗り換えました。
また、インデックスDBの生成・更新が速いのも特徴。
(ただしそれでも重いものは重いので、更新時のみ DB を
RAMディスク上に置くなどの工夫はした方が良い)
フィルタ周りが弱いのは開発参加者の数の少なさから
来ていると思われますので、興味を持ってくれる人が
増えるといいな。
Re:Estraier (スコア:0)
GW に会社でこっそり試してみよう。
# ホントは n-gram の奴で無料のがあれば欲しいんだけどと言ってみるテスト
KWIC Finder (スコア:0)
http://www31.ocn.ne.jp/~h_ishida/KWIC.html
#完全なフリーじゃないけど
で (スコア:2, すばらしい洞察)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:で (スコア:3, 参考になる)
/.JのNamazuの検索はちゃんと動いていないのではないか? [namazu.org]なんて話が出てましたね。
Re:で (スコア:0)
#あ、webはpotatoのままになってるな(汗
Namazu の開発者は (スコア:2, 興味深い)
ん (スコア:1, 参考になる)
その辺への注意喚起ってどうするんでしょうね。
ところで、修正内容はXSSに関するものがメインでしょうか。
めんどくさいんでAC。
#ウチはCygwinで動かしてるんで導入はかなり楽。
#開発者さんがnamazu使ってないという話聞いて、mitakeにしようかと思ったり。
Re:ん (スコア:3, 興味深い)
原作者が開発から離れていることってそんなに重要なことなのですか?そのようなオープンソースソフトウェアのプロジェクトは大きな成功を収めているものも含めて腐るほど存在するでしょうに。
たしかに高林さん御自身はNamazuの開発からは離れてしまいましたが、他にもNamazu Projectのメンバーとして開発に関わってきた人は多数存在します。特に今回のリリースでは2.0.12のリリース後にcommitterになった寺西、臼井両氏が精力的に地道なバグの修正や新規文章フィルタの追加及び改善といった作業を進めてきました。本業を他に抱えているためにアクティブに開発に関わることができる開発者が多くないのが現状なので、両氏がいなければ2.0.13のリリースにこぎつけられなかったかもしれません。
原作者偏長主義が感じられたのであえてACでツッコミを入れてみました。
Re:ん (スコア:0)
>> そのようなオープンソースソフトウェアのプロジェクトは大き
Re:開発者の方は (スコア:2, 参考になる)
開発者の方は使っている様ですよ、
MLの方でも頻繁にフォローしてますし。
#なんか荒れてるなぁ
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
Re:開発者の方は (スコア:0)
やっぱりドッグフードが一番。(え?)
#犬飼いたいなぁ~~~
Re:開発者の方は (スコア:0)
別スレの元発言(#531781)。管理する側にしてはあまりに手抜きなんで
「サボりたければ読め」と軽くツッコミ入れてみたけど結果的に不味かったですね。
相手を選ぶべきだったなぁ‥と反省しております。相手によっては
多少フラ
Re:開発者の方は (スコア:1)
# あとは想像力でなんとかしてね
Copyright (c) 2001-2014 Parsley, All rights reserved.
errata (スコア:0)
です。お詫びして訂正させていただきます。_| ̄|◯
Re:ん (スコア:1, 参考になる)
セキュリティ面は強化なのか欠陥修正なのか (スコア:0)
欠陥修正だったらすぐにでもアップデートするけど、
強化なんだったらサボりたい。
ユーザとしてはそこんとこをまず第一に知りたいんだけど。
サボりたければ読め (スコア:1, 参考になる)
Re:サボりたければ読め (スコア:1)
まさに一番上に書いてあります。
(最初親コメント [srad.jp]が何を希望してるのか意味がわからんかった)
> "今回のバージョンアップの詳細は、以下のようになっています。
>
> 1. セキュリティ面の強化
> * サーバーへ無理な負荷を与える複雑な正規表現検索への対策
> * バッファオーバーフローの可能性がある箇所を修正
セキュリティ関係情報をトップに持ってくるかどうかは、商用フリーに
無関係な気がする今日このごろ。
ユーザがそれを読むか読まないかは、それにもまして無関係。
# 漏れがこんなネタに釣られクマーーーーなのでAP
Re:脆弱性対応の基本がなってない (スコア:0, すばらしい洞察)
脆弱性対応の基本がなっていないのは「自分で詳細を調べない」あなたの方だと思いますよ。
もし、説明が不足している、説明が必要だと思うのであれば「自分で用意する」のがオープンソースではないのですか?
そして、それが出来るようにソースコードが開示されているのですし、メーリングリストがあるのですよ。
本当にそのセキュリティ関連の修正内容が知りたいのであれば、文句を撒き散らす前にメーリングリストのログを読むなり、ソースコードのdiffを取るなりして「自分で」調べれば
Re:脆弱性対応の基本がなってない (スコア:1, すばらしい洞察)
「バージョンアップをサボる」というと語弊があるけど、24/7で 実運用中のシステムの場合、一般的にはバージョンを上げる前に かなりの検証が必要なわけだ。日頃の業務に追われる管理者なら、 なるべく手軽に優先順位を判断したい、 という気持ちもあるだろう。
「ならオープンソースは使うな」と言ってしまうのも正論だが、 ユーザの裾野を広げるという点では、そこをフォローする 何かが欲しいよね。
一番正攻法なのはサポートビジネスかな(Namazuはどっかの 会社がサポートビジネスをやってなかったっけ?) ただ、今回のような議論を見てると、 ソフトウェア単位のサポートってだけじゃなくて、 いろんなパッケージのセキュリティアップデートだけに 注目して、忙しい管理者が「このバージョンのアップデートの 緊急度は?」と問い合わせたらすぐに調べて返答するような サービスってのもあったら良さそう。 Linuxのディストリビュータがやってることと重なるところはあるか。
Re:脆弱性対応の基本がなってない (スコア:1)
>MSやその他プロプライエタリな硬直組織と違って、
>脆弱性情報は正直にアナウンスされるものだと期待していたのだが。
その期待の根拠は何なのでしょうか?
普通に考えると、
プロプライエタリにしろ、オープンソースにしろ、公開しないで済むなら楽であることにはかわりは無いのでは?
思い込みで、非難するのはやめるのがよろしいかと。
Re:脆弱性対応の基本がなってない (スコア:0)
実際、検証と言いつつ放置に近いことされるなら、サボりたくなるのもわかるような気はします。
#実際、検証がいるようなAPI使っているとは思えないケースも多々あったり。
Re:脆弱性対応の基本がなってない (スコア:0)
欲しかったら作ってみてはいかが?
Re:脆弱性対応の基本がなってない (スコア:0)
> 必要としていない機能拡張と同時のバージョンアップしかでき
> ないのでは、他にどういう影響が出るかもわからない。
セキュリティ修正分だけのパッチが存在してほしいと考えるならば
オープンソースの風習に従って
君がそのようなパッチを書き、公開すれば良い。
> 個人的には、オープンソース・プロジェクトというものは、
> MSやその他プロプライエタリな硬直組織と違って、脆弱性
> 情報は正直にアナウンスされるものだと期待していたのだが。
ソースコードそのものが公開されているのだから
Re:脆弱性対応の基本がなってない (スコア:0)
Re:脆弱性対応の基本がなってない (スコア:0)
namazuとwindowsの何をどういう条件で比較してる?
Re:脆弱性対応の基本がなってない (スコア:0)
んー、対価を払って作ってもらうって契約が成立したなら、 「土下座する態度」は必要ないんじゃない? 札束でひっぱたかれるようなのはやだけど、 作る方が一方的に偉いわけでもない。 それこそ対等な関係でしょ。
Re:脆弱性対応の基本がなってない (スコア:0)
> ローカルからしか攻撃され得ないのか、
>
> そんな基本的なことすら、説明されてない。
changelog(のようなもの)にもそこまで書けと?
Re:脆弱性対応の基本がなってない (スコア:0)
オープンソースソフトウェアに限ったことではないと思うけど。
というより、changelogにでも書かれているだけマシ。
ソース見せないソフトだと、黙ってバグフィックスされることも多いわけで。
#開発が黙ってバグフィックスしたことがばれて、客に激怒されたことあり。
Re:脆弱性対応の基本がなってない (スコア:0)
へんなところに反応するけど、それは違う。
開発者はちゃんと変更点は伝えているけど、それをどう扱うかは、セールスとかサポートとかの問題。
問題を一緒にしないでほしいな。
(だたし、どこそこのソースを読めって書くこともあるけど...その方が正確なんだ!)
Re:脆弱性対応の基本がなってない (スコア:0)
「 バッファオーバーフローの可能性がある箇所を修正」って、コードのサニタイズをして
芽が出る前に問題をつぶしましたよ、以上のことはないと思う。
Re:脆弱性対応の基本がなってない (スコア:1, すばらしい洞察)
「サニタイズ」という言葉の使い方が間違っているよ。
最近何でもかんでも「サニタイズ」と書く似非セキュリティ専門家が増えてるなあ。
> 「ローカル」だの「リモート」だのの以前の話だから、
> ほんとにExploitされるかどうかは知るわけもなく。
開発者にはわりとわかりやすいはず。
開発者意外がソースコードを分析してそれを見極めるのは、開発者がそれを行う場合に比べてきわめてコストが大きい。
Re:脆弱性対応の基本がなってない (スコア:0)
Re:サボりたければ読め (スコア:0)
> きちんと説明されていない。
そのまんまきちんと説明されているけど。
>どういうリスクがあるのか
>ないのか。
具体的な修正内容が示されているのだから、自明かと。
Re:サボりたければ読め (スコア:0)
指摘されてから後追いで言い訳するのはみっともない。
もっとも、書いてあっても読まんだろうがな。
今度は「長ったらしい」とか文句つけて。(w
Re:サボりたければ読め (スコア:0)
Re:サボりたければ読め (スコア:0)
devel-ja を「セキュリティ」で検索しても
このリリースノートしかヒットしない。
あとは何年も前のメール。
Re:サボりたければ読め (スコア:0)
Re:サボりたければ読め (スコア:0)
なんかいやなことあったんだろうなあ。
Re:サボりたければ読め (スコア:0)
何か買ってくるとか、外注に作らせるとか。
俺は便利に使わせてもらってるけど。
Re:サボりたければ読め (スコア:0)
Re:サボりたければ読め (スコア:0)
読まない人間や読解力の無い人間に分からせる事は出来ない。
商用に求められるのは、理解したくないヒトが理解しないまま使える事。
Re:サボりたければ読め (スコア:0)
まずは、あなたの使っているユーザーサポートに聞いてみるのが手っ取り早いのではないでしょうか?
Re:セキュリティ面は強化なのか欠陥修正なのか (スコア:0)
書いてあるんだから更新しておけ。
それはそれとして確かに説明が大雑把過ぎると思う。
あとChangeLogでは先月21日あたりにbuffer overflow
の可能性を修正したってあるのに
Re:セキュリティ面は強化なのか欠陥修正なのか (スコア:0)
あるオープンソース系開発者に「なんでオープンソース系アプリは仕様書がないのですか」と聞いたところ、「動いたら勝ちだから」(正確じゃないけど、こうととれる発言)を貰いました。要するに、仕様がどうとかこうとか言う前に、コードを先に作ってしまう感じだと思います(これは、僕個人の判断)。
なので、ある改修項目について、それがどような経緯で修正さ
Re:セキュリティ面は強化なのか欠陥修正なのか (スコア:0)
> コードを先に作ってしまう感じだと思います
> (これは、僕個人の判断)。
でもIETFやW3Cにあるような濃厚な仕様書とその集大成は
オープンソース土壌以外でなかなかお目にかからないです
文書抽出制度 (スコア:0)
Re:文書抽出制度 (スコア:0)
Re:文書抽出制度 (スコア:0)