アカウント名:
パスワード:
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、バージョン管理システムのリポジトリを先に更新してしまうと、悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、というMicrosoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、一般公開前のテストの際、何がどう直っているのかを確認することができなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
全然反してないでしょ?「オープンソースの原則」なんて、公開したものに対応するコードが付属していりゃいいんだから
公開する前の段階でどういう手順で開発してテストするかなんて開発するやつが好き勝手に決めることじゃん別にコミットしてレビューしてパッチ採用してってプロセスを全部公開でやる義務はないセキュリティーチームでもなんでも作ってひっそりやればいいだけのこと
そもそも製品が出荷されて半年ぐらい経って忘れた頃に公開するメーカーとかも珍しくないしな(昔のLinux採用ガラスマのメーカーとか)
AOSPでとっくにソースが公開されてるのに、2、3ヶ月もかかって自社製品のファームウェアに取り込んで公開する始末ですよ。ちょっと古い製品だと、それすらもしない。
Nexus はなくなっちゃったし、Pixel は日本に来る気配すらないので、セキュリティ上まともに使えるのって Android One くらいじゃないかな?しかし、それすらアップデートの保証は発売後2年間という無様な体たらくですけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
バージョン管理システムとリリースとの関係 (スコア:0)
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、
バージョン管理システムのリポジトリを先に更新してしまうと、
悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、という
Microsoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、
一般公開前のテストの際、何がどう直っているのかを確認することが
できなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、
それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
Re: (スコア:0)
全然反してないでしょ?
「オープンソースの原則」なんて、公開したものに対応するコードが付属していりゃいいんだから
公開する前の段階でどういう手順で開発してテストするかなんて開発するやつが好き勝手に決めることじゃん
別にコミットしてレビューしてパッチ採用してってプロセスを全部公開でやる義務はない
セキュリティーチームでもなんでも作ってひっそりやればいいだけのこと
Re: (スコア:0)
そもそも製品が出荷されて半年ぐらい経って忘れた頃に公開するメーカーとかも珍しくないしな
(昔のLinux採用ガラスマのメーカーとか)
Androidだと (スコア:2)
AOSPでとっくにソースが公開されてるのに、
2、3ヶ月もかかって自社製品のファームウェアに取り込んで公開する始末ですよ。
ちょっと古い製品だと、それすらもしない。
Nexus はなくなっちゃったし、Pixel は日本に来る気配すらないので、
セキュリティ上まともに使えるのって Android One くらいじゃないかな?
しかし、それすらアップデートの保証は発売後2年間という無様な体たらくですけど。
uxi