アカウント名:
パスワード:
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、バージョン管理システムのリポジトリを先に更新してしまうと、悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、というMicrosoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、一般公開前のテストの際、何がどう直っているのかを確認することができなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
コミットしていないソースのバイナリを正式版として展開するのはおかしい。なのでGoogleの行為自体には全く問題がない。
Microsoftが攻撃の材料としているために議論を脱線させているように感じるが、主張すべきなのはコミットタイミングではなく公開タイミングではないのだろうか?
であるならばコミットと同時に広く公開されるのではなく一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
同時公開で済む話だろ、コミット云々にしたって、公開用のリポジトリと別でリポジトリでいいだろうが。まっとうなSCMだとブランチ機能あるんだから出来るだろ。脆弱性ゆえに修正版を出すまでに情報を秘匿する必要がある場合に事前をソースを公開してたら本末転倒ってのは正しいぞ。
一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
そんなものは真のオープンソースではないとかそんなようなことを言い出す人もいるだろう。共同開発のためにソースコードを公開しているのに一部とはいえ非公開にすると色々面倒くさいし。そもそも論で言えばパッチを配布すればそれを解析する連中がいるので脆弱性のみを修正するパッチを単独で配布するのは危険だな。パッチが広く行き渡るまでに時間がかかることを考えるとパッチの提供後当面ソースコードを非公開のままにせにゃならんし。何を言いたいのか自分でもわからなくなってきた。俺は「ソフトウェアの公開は危険だからやめろ」と言いたいのか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
バージョン管理システムとリリースとの関係 (スコア:0)
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、
バージョン管理システムのリポジトリを先に更新してしまうと、
悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、という
Microsoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、
一般公開前のテストの際、何がどう直っているのかを確認することが
できなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、
それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
本来論でいうならば (スコア:1)
コミットしていないソースのバイナリを正式版として展開するのはおかしい。
なのでGoogleの行為自体には全く問題がない。
Microsoftが攻撃の材料としているために議論を脱線させているように感じるが、
主張すべきなのはコミットタイミングではなく公開タイミングではないのだろうか?
であるならばコミットと同時に広く公開されるのではなく
一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
Re: (スコア:0)
同時公開で済む話だろ、
コミット云々にしたって、公開用のリポジトリと別でリポジトリでいいだろうが。
まっとうなSCMだとブランチ機能あるんだから出来るだろ。
脆弱性ゆえに修正版を出すまでに情報を秘匿する必要がある場合に事前をソースを公開してたら本末転倒ってのは正しいぞ。
Re: (スコア:0)
一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
そんなものは真のオープンソースではないとかそんなようなことを言い出す人もいるだろう。
共同開発のためにソースコードを公開しているのに一部とはいえ非公開にすると色々面倒くさいし。
そもそも論で言えばパッチを配布すればそれを解析する連中がいるので脆弱性のみを修正するパッチを単独で配布するのは危険だな。パッチが広く行き渡るまでに時間がかかることを考えるとパッチの提供後当面ソースコードを非公開のままにせにゃならんし。
何を言いたいのか自分でもわからなくなってきた。俺は「ソフトウェアの公開は危険だからやめろ」と言いたいのか?