アカウント名:
パスワード:
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、バージョン管理システムのリポジトリを先に更新してしまうと、悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、というMicrosoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、一般公開前のテストの際、何がどう直っているのかを確認することができなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
コミットしていないソースのバイナリを正式版として展開するのはおかしい。なのでGoogleの行為自体には全く問題がない。
Microsoftが攻撃の材料としているために議論を脱線させているように感じるが、主張すべきなのはコミットタイミングではなく公開タイミングではないのだろうか?
であるならばコミットと同時に広く公開されるのではなく一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
同時公開で済む話だろ、コミット云々にしたって、公開用のリポジトリと別でリポジトリでいいだろうが。まっとうなSCMだとブランチ機能あるんだから出来るだろ。脆弱性ゆえに修正版を出すまでに情報を秘匿する必要がある場合に事前をソースを公開してたら本末転倒ってのは正しいぞ。
一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
そんなものは真のオープンソースではないとかそんなようなことを言い出す人もいるだろう。共同開発のためにソースコードを公開しているのに一部とはいえ非公開にすると色々面倒くさいし。そもそも論で言えばパッチを配布すればそれを解析する連中がいるので脆弱性のみを修正するパッチを単独で配布するのは危険だな。パッチが広く行き渡るまでに時間がかかることを考えるとパッチの提供後当面ソースコードを非公開のままにせにゃならんし。何を言いたいのか自分でもわからなくなってきた。俺は「ソフトウェアの公開は危険だからやめろ」と言いたいのか?
オープンソースの原則に反しないだろGPLでもソースを公開する相手は配布したバイナリを持っている相手だけでいいわけで
クロームやクロミウムは広く無償公開されているので修正済みのバイナリだけ配布するとソースコードの開示を利用の条件とするライセンスと矛盾してしまう。あといわゆる第三者のレポジトリのバイナリをどうするのかという問題もあるし。主要なディストリビューターに対してのみ公開しディストリビューター側の準備ができた段階で公開する手はあるがじゃあ主要なディストリビューターをどう選ぶのかという問題があるね。漏れたディストリビューターのバイナリは結局危険ってことになる。これが外部から呼び出すためのライブラリの場合でも同じような問題が生じる。まあChromeはグーグルが管理しているからいいのだがLinuxなんかだと厄介なことになる。#バイナリだけ公開するとライセンス上アレソースコードだけ先に公開すると安全性上アレ同時公開は実務上アレ
Chromiumはマルチライセンスなのでバイナリだけ公開しようが矛盾しません
Googleは公開優先MSは安全性優先
と言えるかな。でもWPA2みたいなので前者のスタイルやられたらシャレにならん。。
そういえば関連リンクにあるけどGoogleって連絡受けてから一週間以内にパッチかアドバイザリー出さないとダメってポリシーだったっけWPA2のやつは対応遅れてたけど今もそのポリシーって残ってるのかな
あれははMSを叩くための方便ですので、自社には適用されません。
パッチは未提供でも脆弱性情報はちゃんと公開されている。だから矛盾はない。ってスタンスかも。
たしかに、WPA2では発表日と公開日を同日にしようという提案があったのに
Microsoftは先行して配布を行ないLinux系OSは同日配布を行ないMacはまだ配布をしていない。
どう見ても一番悪いのはM(日記はここで途切れている)
ソースだけ公開するのはやめろという話なんだが。
バイナリを公開する前にソースだけ公開すんなだなGitのリポジトリだと修正箇所がdiffで大変わかりやすく示されるからそこから脆弱性発覚→バイナリ公開までの期間に攻撃される常に脆弱性を狙われてたMSからすりゃ、あり得ないって考えるのは至極当然
#バイナリだけ公開するとライセンス上アレソースコードだけ先に公開すると安全性上アレ同時公開は実務上アレ
実務上アレってなに? 説明できないんだ。
ソースコードのバージョン管理とリリース管理は別物ですよ。Googleは手を抜いているだけ。
実務上のあれ=無能ゆえに対応出来ない or 面倒くさい
説明、面倒くさいときは、「キャンセル」押すけどな
過去の版を使っている人にまで最新のソースを開示できてなきゃいかんの?
まあ、リリースまでの間だから...
たぶん、1.機能拡張とかのリリースとは別にセキュリテイリリースがあるようなリリースマネジメントにする(一緒くたに出すことはしない)2.セキュリティリリースのブランチは非公開でrcテスト3.リリース後にmasterなどにマージ&ブランチ公開みたいな管理をコアチームというかリリース管理チーム&セキュリティ保守でちゃんとやるしかないんだろうなあ...
chromeはすくなくとも、chromiumへの反映はリリース後にできるようにがんばれなくはないはず、chromium+Googleのプロプラ部分で厳密には=じゃないんだし
ただ、どこまでこれ(とか)が通るのかってのはあるだろうなあ
全然反してないでしょ?「オープンソースの原則」なんて、公開したものに対応するコードが付属していりゃいいんだから
公開する前の段階でどういう手順で開発してテストするかなんて開発するやつが好き勝手に決めることじゃん別にコミットしてレビューしてパッチ採用してってプロセスを全部公開でやる義務はないセキュリティーチームでもなんでも作ってひっそりやればいいだけのこと
そもそも製品が出荷されて半年ぐらい経って忘れた頃に公開するメーカーとかも珍しくないしな(昔のLinux採用ガラスマのメーカーとか)
AOSPでとっくにソースが公開されてるのに、2、3ヶ月もかかって自社製品のファームウェアに取り込んで公開する始末ですよ。ちょっと古い製品だと、それすらもしない。
Nexus はなくなっちゃったし、Pixel は日本に来る気配すらないので、セキュリティ上まともに使えるのって Android One くらいじゃないかな?しかし、それすらアップデートの保証は発売後2年間という無様な体たらくですけど。
半年間誰もソース要求しなかったんじゃないのw
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
バージョン管理システムとリリースとの関係 (スコア:0)
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、
バージョン管理システムのリポジトリを先に更新してしまうと、
悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、という
Microsoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、
一般公開前のテストの際、何がどう直っているのかを確認することが
できなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、
それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
本来論でいうならば (スコア:1)
コミットしていないソースのバイナリを正式版として展開するのはおかしい。
なのでGoogleの行為自体には全く問題がない。
Microsoftが攻撃の材料としているために議論を脱線させているように感じるが、
主張すべきなのはコミットタイミングではなく公開タイミングではないのだろうか?
であるならばコミットと同時に広く公開されるのではなく
一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
Re: (スコア:0)
同時公開で済む話だろ、
コミット云々にしたって、公開用のリポジトリと別でリポジトリでいいだろうが。
まっとうなSCMだとブランチ機能あるんだから出来るだろ。
脆弱性ゆえに修正版を出すまでに情報を秘匿する必要がある場合に事前をソースを公開してたら本末転倒ってのは正しいぞ。
Re: (スコア:0)
一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
そんなものは真のオープンソースではないとかそんなようなことを言い出す人もいるだろう。
共同開発のためにソースコードを公開しているのに一部とはいえ非公開にすると色々面倒くさいし。
そもそも論で言えばパッチを配布すればそれを解析する連中がいるので脆弱性のみを修正するパッチを単独で配布するのは危険だな。パッチが広く行き渡るまでに時間がかかることを考えるとパッチの提供後当面ソースコードを非公開のままにせにゃならんし。
何を言いたいのか自分でもわからなくなってきた。俺は「ソフトウェアの公開は危険だからやめろ」と言いたいのか?
Re: (スコア:0)
オープンソースの原則に反しないだろ
GPLでもソースを公開する相手は配布したバイナリを持っている相手だけでいいわけで
Re: (スコア:0)
クロームやクロミウムは広く無償公開されているので修正済みのバイナリだけ配布するとソースコードの開示を利用の条件とするライセンスと矛盾してしまう。あといわゆる第三者のレポジトリのバイナリをどうするのかという問題もあるし。主要なディストリビューターに対してのみ公開しディストリビューター側の準備ができた段階で公開する手はあるがじゃあ主要なディストリビューターをどう選ぶのかという問題があるね。漏れたディストリビューターのバイナリは結局危険ってことになる。
これが外部から呼び出すためのライブラリの場合でも同じような問題が生じる。
まあChromeはグーグルが管理しているからいいのだがLinuxなんかだと厄介なことになる。
#バイナリだけ公開するとライセンス上アレソースコードだけ先に公開すると安全性上アレ同時公開は実務上アレ
Re: (スコア:0)
Chromiumはマルチライセンスなのでバイナリだけ公開しようが矛盾しません
Re: (スコア:0)
Googleは公開優先
MSは安全性優先
と言えるかな。
でもWPA2みたいなので前者のスタイルやられたらシャレにならん。。
Re: (スコア:0)
そういえば関連リンクにあるけどGoogleって連絡受けてから一週間以内にパッチかアドバイザリー出さないとダメってポリシーだったっけ
WPA2のやつは対応遅れてたけど今もそのポリシーって残ってるのかな
Re: (スコア:0)
あれははMSを叩くための方便ですので、自社には適用されません。
Re: (スコア:0)
パッチは未提供でも脆弱性情報はちゃんと公開されている。だから矛盾はない。ってスタンスかも。
Re: (スコア:0)
たしかに、WPA2では発表日と公開日を
同日にしようという提案があったのに
Microsoftは先行して配布を行ない
Linux系OSは同日配布を行ない
Macはまだ配布をしていない。
どう見ても一番悪いのはM(日記はここで途切れている)
Re: (スコア:0)
ソースだけ公開するのはやめろという話なんだが。
Re: (スコア:0)
バイナリを公開する前にソースだけ公開すんなだな
Gitのリポジトリだと修正箇所がdiffで大変わかりやすく示されるから
そこから脆弱性発覚→バイナリ公開までの期間に攻撃される
常に脆弱性を狙われてたMSからすりゃ、あり得ないって考えるのは至極当然
Re: (スコア:0)
#バイナリだけ公開するとライセンス上アレソースコードだけ先に公開すると安全性上アレ同時公開は実務上アレ
Re: (スコア:0)
実務上アレってなに? 説明できないんだ。
ソースコードのバージョン管理とリリース管理は別物ですよ。
Googleは手を抜いているだけ。
Re: (スコア:0)
実務上のあれ=無能ゆえに対応出来ない or 面倒くさい
Re: (スコア:0)
説明、面倒くさいときは、「キャンセル」押すけどな
Re: (スコア:0)
過去の版を使っている人にまで最新のソースを開示できてなきゃいかんの?
Re: (スコア:0)
まあ、リリースまでの間だから...
たぶん、
1.機能拡張とかのリリースとは別にセキュリテイリリースがあるようなリリースマネジメントにする(一緒くたに出すことはしない)
2.セキュリティリリースのブランチは非公開でrcテスト
3.リリース後にmasterなどにマージ&ブランチ公開
みたいな管理をコアチームというかリリース管理チーム&セキュリティ保守でちゃんとやるしかないんだろうなあ...
chromeはすくなくとも、chromiumへの反映はリリース後にできるようにがんばれなくはないはず、chromium+Googleのプロプラ部分で厳密には=じゃないんだし
ただ、どこまでこれ(とか)が通るのかってのはあるだろうなあ
M-FalconSky (暑いか寒い)
Re: (スコア:0)
全然反してないでしょ?
「オープンソースの原則」なんて、公開したものに対応するコードが付属していりゃいいんだから
公開する前の段階でどういう手順で開発してテストするかなんて開発するやつが好き勝手に決めることじゃん
別にコミットしてレビューしてパッチ採用してってプロセスを全部公開でやる義務はない
セキュリティーチームでもなんでも作ってひっそりやればいいだけのこと
Re: (スコア:0)
そもそも製品が出荷されて半年ぐらい経って忘れた頃に公開するメーカーとかも珍しくないしな
(昔のLinux採用ガラスマのメーカーとか)
Androidだと (スコア:2)
AOSPでとっくにソースが公開されてるのに、
2、3ヶ月もかかって自社製品のファームウェアに取り込んで公開する始末ですよ。
ちょっと古い製品だと、それすらもしない。
Nexus はなくなっちゃったし、Pixel は日本に来る気配すらないので、
セキュリティ上まともに使えるのって Android One くらいじゃないかな?
しかし、それすらアップデートの保証は発売後2年間という無様な体たらくですけど。
uxi
Re: (スコア:0)
半年間誰もソース要求しなかったんじゃないのw