パスワードを忘れた? アカウント作成
13257173 story
セキュリティ

OSSを利用する多くのソフトウェアで脆弱性対応の不備やライセンス問題が存在する 47

ストーリー by hylom
作ってそのまま、は大いにありそう 部門より

オープンソースソフトウェアの管理や監査、セキュリティ調査などを手がける米Black Duckによると、オープンソースソフトウェアを採用する企業の多くで、発見された脆弱性を放置したままにしているという問題があるという(Bluck Duckの発表ITmedia)。

Black Duckは企業が買収などよって取得したソフトウェアのソースコードの監査を請け負っている。その監査過程でオープンソースソフトウェアに関する問題を多数見つけたという。具体的には、2016年に監査を行った1071のアプリケーションのうち96%が何らかの形でオープンソースソフトウェアを使っており、そのうち60%に脆弱性が含まれていたという。特に、金融関連のアプリケーションでは1つのアプリケーション辺り52の脆弱性が存在しており、そのうち60%が高リスクの脆弱性だったという。また、電子商取引関連でも似たような傾向があり、監査したアプリケーションの83%に高リスクの脆弱性があったそうだ。

また、ライセンスに関する問題も多く発見されているという。同社の監査によると、1つのアプリケーションに対し平均147のオープンソースソフトウェアが使われていたそうだが、監査の結果ライセンス衝突が発生していたものは85%にも上ったという。特に多かったのはGPL関連の問題で、75%のアプリケーションがGPL系ライセンスのソフトウェアを利用していたが、そのうちライセンスで問題がなかったのは45%だけだったそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年04月24日 16時51分 (#3199368)

    どっかの大手ディストリビュータからして、『枯れた』と称してアップデート遅れがちだものね。
    glibcやgccが多少古くても問題はないだろうけれど、カーネルやOpenSSL等はちゃんと追従してくれなきゃ困るよね。
    わざわざLTS版のカーネルやブラウザを採用してるくせして、アップデート遅れがちとか意味わからん。
    ディストリからしてそうなのだから、それを利用してる側のセキュリティ意識が低いなんて当たり前っしょ。
    何の根拠もなく『うちのは枯れてるから大丈夫』とか言ってそう。

    • by Anonymous Coward

      カーネルやOpenSSLは古くてもいいでしょうけどgccやglibcが古いのは困るのでは?
      今時C++14が使えないとか生産性が落ちる気がします。

      • by Anonymous Coward

        つまり、カーネルもOpenSSLもgccもglibcも新しいのが正義ですね。

        セキュリティーに関わるOpenSSLやカーネルはともかく、
        生産性上がるからってホイホイgccやglibcを新しいのに乗り換えるのは
        個人でやるのならアリかもしれませんが、チーム開発ではトラブルの種にしかならないような。

        • by Anonymous Coward

          そこまで極端なことは言っていないと思うが…
          えtestingは古いって意味ですよ。

    • by Anonymous Coward

      枯れる言うより癌化だよね。

    • by Anonymous Coward

      カーネルやopensslのセキュリティーホールをほったらかしてる大手ディストリがあるとは思えんが?
      具体的にどのディストリのどのセキュリティーホールの話をしているの?

      単純にopensslのバージョンが最新でないのはおかしいとかいうレベルの話なら、おバカとしかいいようがない。
      LTSで出るアップデートって、各種アプリのバージョンを「上げないように」努力してるもんだと思うが。
      バックポートって言葉、知ってる?

  • by Anonymous Coward on 2017年04月24日 16時52分 (#3199370)

    新機能を考えたりするのと違って、その手の仕事って面倒な上に面白く無いもの。

    そういう当たり前の話で考えると、ボランティアベースでは上手く回らない事も多いだろう。

    • by Anonymous Coward

      つまらなくてもまだ金が出るならいいんだけどね・・・

    • by Anonymous Coward

      このストーリーの内容はどちらかと言うと企業がGNU汚染を起こしている方についてなのだが。

      企業が買収などよって取得したソフトウェアのソースコードの監査を請け負っている。

      会社の報告だよ?

      • by Anonymous Coward

        企業が使っているOSSと言えども、全てが企業で処理されているとも限らないのでは?

        • by Anonymous Coward

          そういう話ではなく、OSSを使っているプロダクトがあって、使っているOSSに脆弱性があっても放置されているという話だと思いますよ。

          OSSを法人が公開しているか個人が公開しているかは関係ない話。

          • by Anonymous Coward

            GPL系のOSSを使っていて再配布もしているがソースコードは非公開なんてのも多いとも描いてある。

  • by Anonymous Coward on 2017年04月24日 18時54分 (#3199469)

    あるライブラリーが使いたいと思い確認するとライセンスA
    ところがそのライブラリーがライブラリーBとライブラリーCを使っていてこれらのライブラリーはまた別の物(以下ループ

    面倒くさい自分で作ったほうが楽だと自作するか
    それでも自分じゃ作れないからと頑張って確認して納得できる物を探すか

    作者に権利があるのは当然だし、俺が楽するために作られた物じゃないからあたりまえだけど
    脳死でGPL系フリーソフトを作るとかじゃない場合は使いづらいし使う事を躊躇するな

    • by Anonymous Coward

      そんなの全然気にしない人が多いんじゃないかと。 一昔前だと一々内容を確認して使うのが当然とする人が大半かと思うけど。
      外販でもするならともかく、社内で利用するだけならどうだっていいと思ってるんだろう。

    • by Anonymous Coward

      今時の気の利いた言語環境なら、依存関係でつながってるライブラリ引っ張ってくるついでに
      ライセンスのリスト作ってくれる機能あるじゃん
      GPLのライブラリなんて滅多にお目にかからない

    • by Anonymous Coward

      やはりBSDLが正義ですよね。

    • by Anonymous Coward

      自分が一番困るのはライセンス情報が書かれていないのだね。

      良さげなライブリを見つけて、ライセンスを確認しようと、探してもどこにもない。
      結局、ライセンスが不明じゃ、危なくて使えないので不採用になるんだけど。

  • by Anonymous Coward on 2017年04月24日 16時15分 (#3199348)

    何年も前にCCに変わったのに未だにGFDLだよって書いたまま違法な商売をしてる

    • by Anonymous Coward

      ライセンスって法律なの?

      • by Anonymous Coward

        締結した契約(法律用語での契約)に反した行動を取るのは違法です。

        • by Anonymous Coward

          違法というからにはどこかの国の法律が適用されるのだと思うけど、Wikipediaの場合どこの何という法律が適用されるのだろうか?
          イスラム法??

          • by Anonymous Coward

            ウィキペディアのライセンスにそのへんをどこの法律で判断するかは書いてあった気がする。
            正確にはど娘の最ばんしょで裁判をするかについて書いてある。

            • by Anonymous Coward

              >正確にはど娘の最ばんしょ

              hylom病か

      • by Anonymous Coward

        ライセンスは契約ですね。
        ライセンスの条項に則っている場合のみ著作権上の許諾を与えるという契約になっています。
        影響する法律は著作権法ですね。

      • by Anonymous Coward

        法律でも契約でもないよ。
        契約は相手から同意を得る必要があるので、OSS でいうライセンスは契約ではないよ。
        わかりやすくいうと条件つきの許可だよ。

        • by Anonymous Coward

          普通この手のライセンスを採用した何かしらには同意された方のみライセンスを守ってご利用くださいどーのこーのと書いてあるので同意は得ていることになります。

          • そのライセンスの存在を知らずに使用する場合も同意したことになるのでしょうか?
            親コメント
            • by Anonymous Coward

              ここで言うところの使用というのは私的複製を超えた複製のことを指すので
              そもそもライセンスの存在を知らずに複製をしているならそれは著作権の侵害にほかなりません。

              • by Anonymous Coward

                侵害だったとして誰に訴えられるのですか?

              • by Anonymous Coward

                著作権の侵害は(現状は)親告罪なので、著作権者またはその代理人。

                # TPP著作権法案で著作権侵害を非親告罪にしようってのがあったけど、トランプ政権になってTPP自体が有耶無耶に。

          • by Anonymous Coward

            それは同意が、著作権者に伝わっていないので、契約になりません。

        • by Anonymous Coward

          何で平然と嘘つくんだろう。
          条件付きで許可することとかの約束事が、契約という法律行為だぞ?

          他の人も言ってるけど、許可がでてない(同意・合意されてない)以上、
          その相手に使用権が与えられることもないので、勝手に使ったら著作権法に反するよね。

          # 物理的なものなら所有権の侵害

          • by Anonymous Coward

            ライセンスは許諾。契約ではない。
            自分の著作物に関して著作権を他人が行使することを作者側から一方的に許諾するものがライセンス。
            そこに利用者側の同意は必要としていないため契約としては成立していないし、成立する必要もない。
            実際 OSS ではシュリンクラップやクリックオンによる契約は発生しないのが一般的。

            「この条件でなら利用してもよい」と言われているだけなので、
            同意していようがしていなかろうが、"この条件"に違反すれば著作権侵害。

            • by Anonymous Coward

              日本の法律上it業界用語のライセンスはたいていの場合契約になるんですよ。

            • by Anonymous Coward

              一方的とかバカなのか?
              この画像はネットで拾ったから勝手に使っても問題ないとか言っちゃう級のバカ

              許諾の意味を辞書で引け
              許諾には必ず双方の合意が必要
              そしてそれを契約と言うんだ

              もちろんライセンスは契約条件が書かれているだけだが
              それは、それをもとに両者感で合意(契約)するためのものだからだ

              当然、その契約が成立してないならダメさ
              成立しないしする必要もない、とか意味不明にも程がある

              • by Anonymous Coward

                誰も拾ってきた他人の著作物の議論なんかしてないでしょ。

                著作権法第17条で
                「著作者は、次条第一項、第十九条第一項及び第二十条第一項に規定する権利
                (以下「著作者人格権」という。)並びに第二十一条から第二十八条までに規定する権利
                (以下「著作権」という。)を享有する。 」
                と定められている。

                第63条第1項で
                「著作権者は、他人に対し、その著作物の利用を許諾することができる。」
                と定められている。

                で、この許諾は、"契約の他に単独行為によっても可能であると解されている" んだわ。

                https://w [gnu.org]

              • by Anonymous Coward
                合意といいますと、例えば他人の著作物を利用する場合に 利用していいですかとAの著作者に問い合わせてOKもらうカタチになりますが、 あなたは、Linuxを使用するときに全ての著作者に問合せをしましたか? 問合せていないのなら、著作者の出した範囲でなら利用してよいと理解して使用したわけです。これはこちらから問合せていないので、著作者から一方的に出された条件にしたがったわけですよ。
              • by Anonymous Coward

                知ってるよ
                書いるね、GNUが、勝手に

                けどGNU何ぞに世界各国の法律無視して良いよなんて言う権限ねぇから
                やるんならその国の法的に許可された範囲で契約結んで許諾しなきゃダメなんすわ

                解されるって点で言っても
                法的に基本的に禁止されていることを例外的に許可するなら
                契約行為が必要って方が一般的だしな

                GNUがこれはライセンスであって契約とは違いますなんて言っても法の前には無意味だから

    • by Anonymous Coward

      GFDLならWikipediaのCCの要件満たすのでは?

      じゃなきゃWikipedia自身がライセンス移行することができなかったはず(全ての著作権者にライセンス変更の許諾取れるわけないから)

    • by Anonymous Coward

      いいや、GFDLとCC-BY-SAのデュアルライセンスに移行した。デュアルライセンスとは(下流が)どちらを採用してもいいという意味だから、何の問題もない。

  • by Anonymous Coward on 2017年04月24日 18時26分 (#3199435)

    libfoobar.dllみたいなのを同梱してるとあるあるな話ですね
    ssl系や圧縮・解凍系とか何年前のライブラリ使ってんだ!?みたいな

    # shardにしてアプデで動かなくなるリスクと天秤

  • by Anonymous Coward on 2017年04月25日 13時34分 (#3200000)

    OpenBSD使えとw

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...