OSSを利用する多くのソフトウェアで脆弱性対応の不備やライセンス問題が存在する 47
ストーリー by hylom
作ってそのまま、は大いにありそう 部門より
作ってそのまま、は大いにありそう 部門より
オープンソースソフトウェアの管理や監査、セキュリティ調査などを手がける米Black Duckによると、オープンソースソフトウェアを採用する企業の多くで、発見された脆弱性を放置したままにしているという問題があるという(Bluck Duckの発表、ITmedia)。
Black Duckは企業が買収などよって取得したソフトウェアのソースコードの監査を請け負っている。その監査過程でオープンソースソフトウェアに関する問題を多数見つけたという。具体的には、2016年に監査を行った1071のアプリケーションのうち96%が何らかの形でオープンソースソフトウェアを使っており、そのうち60%に脆弱性が含まれていたという。特に、金融関連のアプリケーションでは1つのアプリケーション辺り52の脆弱性が存在しており、そのうち60%が高リスクの脆弱性だったという。また、電子商取引関連でも似たような傾向があり、監査したアプリケーションの83%に高リスクの脆弱性があったそうだ。
また、ライセンスに関する問題も多く発見されているという。同社の監査によると、1つのアプリケーションに対し平均147のオープンソースソフトウェアが使われていたそうだが、監査の結果ライセンス衝突が発生していたものは85%にも上ったという。特に多かったのはGPL関連の問題で、75%のアプリケーションがGPL系ライセンスのソフトウェアを利用していたが、そのうちライセンスで問題がなかったのは45%だけだったそうだ。
そらそうよ (スコア:1)
どっかの大手ディストリビュータからして、『枯れた』と称してアップデート遅れがちだものね。
glibcやgccが多少古くても問題はないだろうけれど、カーネルやOpenSSL等はちゃんと追従してくれなきゃ困るよね。
わざわざLTS版のカーネルやブラウザを採用してるくせして、アップデート遅れがちとか意味わからん。
ディストリからしてそうなのだから、それを利用してる側のセキュリティ意識が低いなんて当たり前っしょ。
何の根拠もなく『うちのは枯れてるから大丈夫』とか言ってそう。
Re: (スコア:0)
カーネルやOpenSSLは古くてもいいでしょうけどgccやglibcが古いのは困るのでは?
今時C++14が使えないとか生産性が落ちる気がします。
Re: (スコア:0)
つまり、カーネルもOpenSSLもgccもglibcも新しいのが正義ですね。
セキュリティーに関わるOpenSSLやカーネルはともかく、
生産性上がるからってホイホイgccやglibcを新しいのに乗り換えるのは
個人でやるのならアリかもしれませんが、チーム開発ではトラブルの種にしかならないような。
Re: (スコア:0)
そこまで極端なことは言っていないと思うが…
えtestingは古いって意味ですよ。
Re: (スコア:0)
枯れる言うより癌化だよね。
Re: (スコア:0)
カーネルやopensslのセキュリティーホールをほったらかしてる大手ディストリがあるとは思えんが?
具体的にどのディストリのどのセキュリティーホールの話をしているの?
単純にopensslのバージョンが最新でないのはおかしいとかいうレベルの話なら、おバカとしかいいようがない。
LTSで出るアップデートって、各種アプリのバージョンを「上げないように」努力してるもんだと思うが。
バックポートって言葉、知ってる?
だって (スコア:1)
新機能を考えたりするのと違って、その手の仕事って面倒な上に面白く無いもの。
そういう当たり前の話で考えると、ボランティアベースでは上手く回らない事も多いだろう。
Re: (スコア:0)
つまらなくてもまだ金が出るならいいんだけどね・・・
Re: (スコア:0)
金なんか払うわけないでしょ
OSSなら無料!OSSで経費削減!
https://twitter.com/kyokuheki/status/855823267730407424 [twitter.com]
Re: (スコア:0)
このストーリーの内容はどちらかと言うと企業がGNU汚染を起こしている方についてなのだが。
企業が買収などよって取得したソフトウェアのソースコードの監査を請け負っている。
会社の報告だよ?
Re: (スコア:0)
企業が使っているOSSと言えども、全てが企業で処理されているとも限らないのでは?
Re: (スコア:0)
そういう話ではなく、OSSを使っているプロダクトがあって、使っているOSSに脆弱性があっても放置されているという話だと思いますよ。
OSSを法人が公開しているか個人が公開しているかは関係ない話。
Re: (スコア:0)
GPL系のOSSを使っていて再配布もしているがソースコードは非公開なんてのも多いとも描いてある。
ライセンスの確認 (スコア:1)
あるライブラリーが使いたいと思い確認するとライセンスA
ところがそのライブラリーがライブラリーBとライブラリーCを使っていてこれらのライブラリーはまた別の物(以下ループ
面倒くさい自分で作ったほうが楽だと自作するか
それでも自分じゃ作れないからと頑張って確認して納得できる物を探すか
作者に権利があるのは当然だし、俺が楽するために作られた物じゃないからあたりまえだけど
脳死でGPL系フリーソフトを作るとかじゃない場合は使いづらいし使う事を躊躇するな
Re: (スコア:0)
そんなの全然気にしない人が多いんじゃないかと。 一昔前だと一々内容を確認して使うのが当然とする人が大半かと思うけど。
外販でもするならともかく、社内で利用するだけならどうだっていいと思ってるんだろう。
Re: (スコア:0)
今時の気の利いた言語環境なら、依存関係でつながってるライブラリ引っ張ってくるついでに
ライセンスのリスト作ってくれる機能あるじゃん
GPLのライブラリなんて滅多にお目にかからない
Re: (スコア:0)
やはりBSDLが正義ですよね。
Re: (スコア:0)
自分が一番困るのはライセンス情報が書かれていないのだね。
良さげなライブリを見つけて、ライセンスを確認しようと、探してもどこにもない。
結局、ライセンスが不明じゃ、危なくて使えないので不採用になるんだけど。
Wikipediaのミラーサイト (スコア:0)
何年も前にCCに変わったのに未だにGFDLだよって書いたまま違法な商売をしてる
Re: (スコア:0)
ライセンスって法律なの?
Re: (スコア:0)
締結した契約(法律用語での契約)に反した行動を取るのは違法です。
Re: (スコア:0)
違法というからにはどこかの国の法律が適用されるのだと思うけど、Wikipediaの場合どこの何という法律が適用されるのだろうか?
イスラム法??
Re: (スコア:0)
ウィキペディアのライセンスにそのへんをどこの法律で判断するかは書いてあった気がする。
正確にはど娘の最ばんしょで裁判をするかについて書いてある。
Re: (スコア:0)
>正確にはど娘の最ばんしょ
hylom病か
Re: (スコア:0)
ライセンスは契約ですね。
ライセンスの条項に則っている場合のみ著作権上の許諾を与えるという契約になっています。
影響する法律は著作権法ですね。
Re: (スコア:0)
法律でも契約でもないよ。
契約は相手から同意を得る必要があるので、OSS でいうライセンスは契約ではないよ。
わかりやすくいうと条件つきの許可だよ。
Re: (スコア:0)
普通この手のライセンスを採用した何かしらには同意された方のみライセンスを守ってご利用くださいどーのこーのと書いてあるので同意は得ていることになります。
Re:Wikipediaのミラーサイト (スコア:2)
Re: (スコア:0)
ここで言うところの使用というのは私的複製を超えた複製のことを指すので
そもそもライセンスの存在を知らずに複製をしているならそれは著作権の侵害にほかなりません。
Re: (スコア:0)
侵害だったとして誰に訴えられるのですか?
Re: (スコア:0)
著作権の侵害は(現状は)親告罪なので、著作権者またはその代理人。
# TPP著作権法案で著作権侵害を非親告罪にしようってのがあったけど、トランプ政権になってTPP自体が有耶無耶に。
Re: (スコア:0)
それは同意が、著作権者に伝わっていないので、契約になりません。
Re: (スコア:0)
何で平然と嘘つくんだろう。
条件付きで許可することとかの約束事が、契約という法律行為だぞ?
他の人も言ってるけど、許可がでてない(同意・合意されてない)以上、
その相手に使用権が与えられることもないので、勝手に使ったら著作権法に反するよね。
# 物理的なものなら所有権の侵害
Re: (スコア:0)
ライセンスは許諾。契約ではない。
自分の著作物に関して著作権を他人が行使することを作者側から一方的に許諾するものがライセンス。
そこに利用者側の同意は必要としていないため契約としては成立していないし、成立する必要もない。
実際 OSS ではシュリンクラップやクリックオンによる契約は発生しないのが一般的。
「この条件でなら利用してもよい」と言われているだけなので、
同意していようがしていなかろうが、"この条件"に違反すれば著作権侵害。
Re: (スコア:0)
日本の法律上it業界用語のライセンスはたいていの場合契約になるんですよ。
Re: (スコア:0)
一方的とかバカなのか?
この画像はネットで拾ったから勝手に使っても問題ないとか言っちゃう級のバカ
許諾の意味を辞書で引け
許諾には必ず双方の合意が必要
そしてそれを契約と言うんだ
もちろんライセンスは契約条件が書かれているだけだが
それは、それをもとに両者感で合意(契約)するためのものだからだ
当然、その契約が成立してないならダメさ
成立しないしする必要もない、とか意味不明にも程がある
Re: (スコア:0)
誰も拾ってきた他人の著作物の議論なんかしてないでしょ。
著作権法第17条で
「著作者は、次条第一項、第十九条第一項及び第二十条第一項に規定する権利
(以下「著作者人格権」という。)並びに第二十一条から第二十八条までに規定する権利
(以下「著作権」という。)を享有する。 」
と定められている。
第63条第1項で
「著作権者は、他人に対し、その著作物の利用を許諾することができる。」
と定められている。
で、この許諾は、"契約の他に単独行為によっても可能であると解されている" んだわ。
https://w [gnu.org]
Re: (スコア:0)
Re: (スコア:0)
知ってるよ
書いるね、GNUが、勝手に
けどGNU何ぞに世界各国の法律無視して良いよなんて言う権限ねぇから
やるんならその国の法的に許可された範囲で契約結んで許諾しなきゃダメなんすわ
解されるって点で言っても
法的に基本的に禁止されていることを例外的に許可するなら
契約行為が必要って方が一般的だしな
GNUがこれはライセンスであって契約とは違いますなんて言っても法の前には無意味だから
Re: (スコア:0)
GFDLならWikipediaのCCの要件満たすのでは?
じゃなきゃWikipedia自身がライセンス移行することができなかったはず(全ての著作権者にライセンス変更の許諾取れるわけないから)
Re: (スコア:0)
いいや、GFDLとCC-BY-SAのデュアルライセンスに移行した。デュアルライセンスとは(下流が)どちらを採用してもいいという意味だから、何の問題もない。
Static (スコア:0)
libfoobar.dllみたいなのを同梱してるとあるあるな話ですね
ssl系や圧縮・解凍系とか何年前のライブラリ使ってんだ!?みたいな
# shardにしてアプデで動かなくなるリスクと天秤
諸々まとめると (スコア:0)
OpenBSD使えとw
Re: (スコア:0)
何がどう「だから」、「OSSはごみ」になるの?