アカウント名:
パスワード:
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、バージョン管理システムのリポジトリを先に更新してしまうと、悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、というMicrosoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、一般公開前のテストの際、何がどう直っているのかを確認することができなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
コミットしていないソースのバイナリを正式版として展開するのはおかしい。なのでGoogleの行為自体には全く問題がない。
Microsoftが攻撃の材料としているために議論を脱線させているように感じるが、主張すべきなのはコミットタイミングではなく公開タイミングではないのだろうか?
であるならばコミットと同時に広く公開されるのではなく一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
同時公開で済む話だろ、コミット云々にしたって、公開用のリポジトリと別でリポジトリでいいだろうが。まっとうなSCMだとブランチ機能あるんだから出来るだろ。脆弱性ゆえに修正版を出すまでに情報を秘匿する必要がある場合に事前をソースを公開してたら本末転倒ってのは正しいぞ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
バージョン管理システムとリリースとの関係 (スコア:0)
オープンソースで悩ましい問題の1つではありますね。
ソースコードの修正履歴としてセキュリティホールの修正が含まれうる以上、
バージョン管理システムのリポジトリを先に更新してしまうと、
悪意のある(が知識のそれほど無い)ユーザが気付いて攻撃を始める、という
Microsoftの主張もわからんではないです。
ただし、ソースコードを事前に公開せずにコンパイル済みのバイナリのみを提供すると仮定すると、
一般公開前のテストの際、何がどう直っているのかを確認することが
できなくなってしまいます。かといって、テスターだけに修正ソースコードを公開するというのも、
それはそれでオープンソースの原則に反してしまい、実質的なNDA (機密保持契約)になってしまいます。
本来論でいうならば (スコア:1)
コミットしていないソースのバイナリを正式版として展開するのはおかしい。
なのでGoogleの行為自体には全く問題がない。
Microsoftが攻撃の材料としているために議論を脱線させているように感じるが、
主張すべきなのはコミットタイミングではなく公開タイミングではないのだろうか?
であるならばコミットと同時に広く公開されるのではなく
一部のコミット内容については、限定的または時限的に公開される枠組みを志向するべきだろう。
Re:本来論でいうならば (スコア:0)
同時公開で済む話だろ、
コミット云々にしたって、公開用のリポジトリと別でリポジトリでいいだろうが。
まっとうなSCMだとブランチ機能あるんだから出来るだろ。
脆弱性ゆえに修正版を出すまでに情報を秘匿する必要がある場合に事前をソースを公開してたら本末転倒ってのは正しいぞ。