パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

2019年に報告された脆弱性が最も多い製品はAndroid」記事へのコメント

  • 結局Androidは、Linuxの設計由来の限界でWindows Updateのような中央集権的なアップデートができず、
    代わりにユーザーの自由を制限することで、すなわちユーザーに管理者権限を与えず、
    かつ原則的にストア以外からのアプリインストールを禁止することで、
    システム全体としての安全性を確保するエコシステムだと理解している。

    これはこれで一つのあり方だろう。脆弱性の件数だけでエコシステム全体の安全性の判断はできない。

    OSとしてWindowsと比べると見劣りするけど。Windowsは…もはや賞賛するしかない。

    • by Anonymous Coward

      上のコメントでは、Googleがメーカー問わずアップデートを配信するようになったそうだが…これは中央集権的なアップデートではないのか?Linuxが中央集権的アップデートするのを妨げている「設計に由来する限界」というのは具体的に何なのだろうか?

      • by Anonymous Coward on 2020年03月09日 0時01分 (#3775413)

        ベンダーがカーネルに手を入れすぎ。そんなのベンダーしかサポートできない。

        親コメント
        • by Anonymous Coward

          カーネルに手を入れることができることは、「設計に由来する限界」なのだろうか?

          • by Anonymous Coward on 2020年03月09日 2時50分 (#3775440)

            エコシステムとしては「設計に由来する限界」じゃないかな。

            Linuxの場合、ドライバに使うLKMのAPIやABIが結構簡単にコロコロ変わるので、
            脆弱性のあるドライバだけ更新したくても、カーネルのビルドが必要なパターンが有ります。
            APIやABIが安定してれば、カーネルだけ更新とかドライバだけ更新とかWindowsみたいに気軽に出来るのですが、
            Linuxの場合はカーネルのビルドが必要=メーカーの改変内容の適切な適用とビルドが必要となるパターンが多い。
            それを何とかしようとしてるのが、Project Treble(メーカー改変部の分離)とか、Project Mainline(一部モジュールの分離)

            ちなみに、Android 10でGoogleが配信出来るようになったのも一部分。
            APIやABIの変更を吸収する仕組みを入れてAndroidシステムのWebView [google.com]みたいな感じで、
            脆弱性の宝庫なモジュール(メディアフレームワーク回りとか)を更新可能になったって話です。
            # セキュリティ情報 [android.com]見ればわかりますが、メディアフレームワークは毎月のようにアレなバグを量産してる。

            親コメント
            • by Anonymous Coward

              なるほど。LinuxにはABI・APIの互換性を保証し、カーネルのリビルドを必要とせず、メーカー側で用意したバイナリがアップデートにより動作しなくなることを防ぐ機構が存在しない。WindowsはABI・APIの互換性を担保できるように緩衝レイヤーが存在しているということか。

              • by Anonymous Coward

                LinuxのABIには互換性を持たない方針の内部のレイヤと、互換性を持たせる方針の外部のレイヤがある。
                幸か不幸か、ドライバは内部を使っている。

                Windowsのドライバは上記でいう外側に相当するものを使っている。
                でも、グラフィックカードのドライバモデルが変わったとかそういうのもあったはずだ。

アレゲは一日にしてならず -- アレゲ見習い

処理中...