アカウント名:
パスワード:
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、バージョン管理システムのリポジトリを先に更新してしまうと、悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、というMicrosoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、一般公開前のテストの際、何がどう直っているのかを確認することができなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
オープンソースの原則に反しないだろGPLでもソースを公開する相手は配布したバイナリを持っている相手だけでいいわけで
クロームやクロミウムは広く無償公開されているので修正済みのバイナリだけ配布するとソースコードの開示を利用の条件とするライセンスと矛盾してしまう。あといわゆる第三者のレポジトリのバイナリをどうするのかという問題もあるし。主要なディストリビューターに対してのみ公開しディストリビューター側の準備ができた段階で公開する手はあるがじゃあ主要なディストリビューターをどう選ぶのかという問題があるね。漏れたディストリビューターのバイナリは結局危険ってことになる。これが外部から呼び出すためのライブラリの場合でも同じような問題が生じる。まあChromeはグーグルが管理しているからいいのだがLinuxなんかだと厄介なことになる。#バイナリだけ公開するとライセンス上アレソースコードだけ先に公開すると安全性上アレ同時公開は実務上アレ
Chromiumはマルチライセンスなのでバイナリだけ公開しようが矛盾しません
Googleは公開優先MSは安全性優先
と言えるかな。でもWPA2みたいなので前者のスタイルやられたらシャレにならん。。
そういえば関連リンクにあるけどGoogleって連絡受けてから一週間以内にパッチかアドバイザリー出さないとダメってポリシーだったっけWPA2のやつは対応遅れてたけど今もそのポリシーって残ってるのかな
あれははMSを叩くための方便ですので、自社には適用されません。
パッチは未提供でも脆弱性情報はちゃんと公開されている。だから矛盾はない。ってスタンスかも。
たしかに、WPA2では発表日と公開日を同日にしようという提案があったのに
Microsoftは先行して配布を行ないLinux系OSは同日配布を行ないMacはまだ配布をしていない。
どう見ても一番悪いのはM(日記はここで途切れている)
ソースだけ公開するのはやめろという話なんだが。
バイナリを公開する前にソースだけ公開すんなだなGitのリポジトリだと修正箇所がdiffで大変わかりやすく示されるからそこから脆弱性発覚→バイナリ公開までの期間に攻撃される常に脆弱性を狙われてたMSからすりゃ、あり得ないって考えるのは至極当然
#バイナリだけ公開するとライセンス上アレソースコードだけ先に公開すると安全性上アレ同時公開は実務上アレ
実務上アレってなに? 説明できないんだ。
ソースコードのバージョン管理とリリース管理は別物ですよ。Googleは手を抜いているだけ。
実務上のあれ=無能ゆえに対応出来ない or 面倒くさい
説明、面倒くさいときは、「キャンセル」押すけどな
過去の版を使っている人にまで最新のソースを開示できてなきゃいかんの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
バージョン管理システムとリリースとの関係 (スコア:0)
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、
バージョン管理システムのリポジトリを先に更新してしまうと、
悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、という
Microsoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、
一般公開前のテストの際、何がどう直っているのかを確認することが
できなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、
それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
Re: (スコア:0)
オープンソースの原則に反しないだろ
GPLでもソースを公開する相手は配布したバイナリを持っている相手だけでいいわけで
Re:バージョン管理システムとリリースとの関係 (スコア:0)
クロームやクロミウムは広く無償公開されているので修正済みのバイナリだけ配布するとソースコードの開示を利用の条件とするライセンスと矛盾してしまう。あといわゆる第三者のレポジトリのバイナリをどうするのかという問題もあるし。主要なディストリビューターに対してのみ公開しディストリビューター側の準備ができた段階で公開する手はあるがじゃあ主要なディストリビューターをどう選ぶのかという問題があるね。漏れたディストリビューターのバイナリは結局危険ってことになる。
これが外部から呼び出すためのライブラリの場合でも同じような問題が生じる。
まあChromeはグーグルが管理しているからいいのだがLinuxなんかだと厄介なことになる。
#バイナリだけ公開するとライセンス上アレソースコードだけ先に公開すると安全性上アレ同時公開は実務上アレ
Re: (スコア:0)
Chromiumはマルチライセンスなのでバイナリだけ公開しようが矛盾しません
Re: (スコア:0)
Googleは公開優先
MSは安全性優先
と言えるかな。
でもWPA2みたいなので前者のスタイルやられたらシャレにならん。。
Re: (スコア:0)
そういえば関連リンクにあるけどGoogleって連絡受けてから一週間以内にパッチかアドバイザリー出さないとダメってポリシーだったっけ
WPA2のやつは対応遅れてたけど今もそのポリシーって残ってるのかな
Re: (スコア:0)
あれははMSを叩くための方便ですので、自社には適用されません。
Re: (スコア:0)
パッチは未提供でも脆弱性情報はちゃんと公開されている。だから矛盾はない。ってスタンスかも。
Re: (スコア:0)
たしかに、WPA2では発表日と公開日を
同日にしようという提案があったのに
Microsoftは先行して配布を行ない
Linux系OSは同日配布を行ない
Macはまだ配布をしていない。
どう見ても一番悪いのはM(日記はここで途切れている)
Re: (スコア:0)
ソースだけ公開するのはやめろという話なんだが。
Re: (スコア:0)
バイナリを公開する前にソースだけ公開すんなだな
Gitのリポジトリだと修正箇所がdiffで大変わかりやすく示されるから
そこから脆弱性発覚→バイナリ公開までの期間に攻撃される
常に脆弱性を狙われてたMSからすりゃ、あり得ないって考えるのは至極当然
Re: (スコア:0)
#バイナリだけ公開するとライセンス上アレソースコードだけ先に公開すると安全性上アレ同時公開は実務上アレ
Re: (スコア:0)
実務上アレってなに? 説明できないんだ。
ソースコードのバージョン管理とリリース管理は別物ですよ。
Googleは手を抜いているだけ。
Re: (スコア:0)
実務上のあれ=無能ゆえに対応出来ない or 面倒くさい
Re: (スコア:0)
説明、面倒くさいときは、「キャンセル」押すけどな
Re: (スコア:0)
過去の版を使っている人にまで最新のソースを開示できてなきゃいかんの?