アカウント名:
パスワード:
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、バージョン管理システムのリポジトリを先に更新してしまうと、悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、というMicrosoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、一般公開前のテストの際、何がどう直っているのかを確認することができなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
まあ、リリースまでの間だから...
たぶん、1.機能拡張とかのリリースとは別にセキュリテイリリースがあるようなリリースマネジメントにする(一緒くたに出すことはしない)2.セキュリティリリースのブランチは非公開でrcテスト3.リリース後にmasterなどにマージ&ブランチ公開みたいな管理をコアチームというかリリース管理チーム&セキュリティ保守でちゃんとやるしかないんだろうなあ...
chromeはすくなくとも、chromiumへの反映はリリース後にできるようにがんばれなくはないはず、chromium+Googleのプロプラ部分で厳密には=じゃないんだし
ただ、どこまでこれ(とか)が通るのかってのはあるだろうなあ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
バージョン管理システムとリリースとの関係 (スコア:0)
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、
バージョン管理システムのリポジトリを先に更新してしまうと、
悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、という
Microsoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、
一般公開前のテストの際、何がどう直っているのかを確認することが
できなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、
それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
Re:バージョン管理システムとリリースとの関係 (スコア:0)
まあ、リリースまでの間だから...
たぶん、
1.機能拡張とかのリリースとは別にセキュリテイリリースがあるようなリリースマネジメントにする(一緒くたに出すことはしない)
2.セキュリティリリースのブランチは非公開でrcテスト
3.リリース後にmasterなどにマージ&ブランチ公開
みたいな管理をコアチームというかリリース管理チーム&セキュリティ保守でちゃんとやるしかないんだろうなあ...
chromeはすくなくとも、chromiumへの反映はリリース後にできるようにがんばれなくはないはず、chromium+Googleのプロプラ部分で厳密には=じゃないんだし
ただ、どこまでこれ(とか)が通るのかってのはあるだろうなあ
M-FalconSky (暑いか寒い)