パスワードを忘れた? アカウント作成
801973 journal
ソフトウェア

NightWalkerの日記: 脆弱性のあるフリーソフトを作った作者の一覧が公開 2

日記 by NightWalker

連絡不能開発者一覧
JVN、脆弱性の届け出があったソフトの「連絡不能開発者一覧」公表 (via.N速スレ)

情報セキュリティ早期警戒パートナーシップに基づいて届けられたソフトウェア製品で、インターネット等から入手し得る情報では連絡が取れない、以下の一覧に掲載されている製品開発者、またはその関係者が調査対象です。

フリーソフトだけじゃないみたい?
2chのスレッドでも指摘されているのだが、有名どころではVixの作者(K_OKADA's WebPage 現在サイト無し)が含まれる。
俺もsusieプラグインのテストに使った記憶があるな。
対象ソフトはVixなのかな?今でも窓の杜では元気に配布中
以前あった、Lzh関係が未修正という事はありうるのかもしれないけど、よくわからず。

しかし、フリーソフトであっても(もう公開してない場合でも)脆弱性を直せ、という圧力がかかる辺り、考えさせられる。
使う側の立場としては修正してもらうのは、当然のリクエストなんだけども
状況的に直せない場合もあろうし、それが公開停止ではダメだというのは厳しすぎる。
「仕様に含まれず、検収時点で想定されてない不具合であっても、何年経とうが対応する事」
という契約は結べないぜ(有償/無償に関わらず、ね)。
まして、無料で作るフリーソフトであるなら、こんな義務を課せられて、誰が提供しようと思うだろうか。

「だからソースを公開すべき」という意見もあるだろうが、公開すれば脆弱性を修正する義務から解放される?
対症療法としてはソース公開は有効だけど、まずは「フリーだろうが脆弱性を修正する義務がある」という所から考えないといけないはず。

# うまくまとまらなかったので、誰かタレこんで~

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2011年09月30日 1時59分 (#2027102)

     一部のフリーソフトでやられているような一定期間すぎたら起動できなくなる時限機能付きで配布しないといけないんでしょうかね。
    或は、どこぞの延長サポートのように一定期間すぎたら有償サポートに切り替えるとか。

  • by Anonymous Coward on 2011年09月30日 8時13分 (#2027138)

    lzh等の書庫に絡む脆弱性は無視しまくっている感じですな。

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...