The OpenSSL package is developed in a Git-based repository. It is available via Git mechanisms at git.openssl.org and as snapshot tarballs through FTP on ftp.openssl.org for those people who either want to always stay at the bleeding edge or even want to participate in the development of OpenSSL. But use such repository snapshots only when you like to see OpenSSL dump core and you can help yourself in case of problems, of course.
で、「レビューで見つからなかった」はどうすんのさ (スコア:2)
割りと根本的に、オプソのあり方に石を投げ入れる問題と思うんだけど…。
完璧なものなど滅多にあり得ないとはいえ、「長年実績のあったソフトウェアに途中から致命的なバグが入り、かつそれがレビューで発見されませんでした。」
って言われて、はいそうですかで終わらせるなら、オプソのほとんどが危険で使えない事になっちゃいますよ。
Re:で、「レビューで見つからなかった」はどうすんのさ (スコア:1)
ソースをクローズドにしてるとレビューで見つかるの?
# 危険が100%無いモノなんて存在しないよ
Re:で、「レビューで見つからなかった」はどうすんのさ (スコア:1)
完全オフトピで恐縮ですが。。。
http://www.openssl.org/source/repos.html [openssl.org]
The OpenSSL package is developed in a Git-based repository. It is available via Git mechanisms at git.openssl.org and as snapshot tarballs through FTP on ftp.openssl.org for those people who either want to always stay at the bleeding edge or even want to participate in the development of OpenSSL. But use such repository snapshots only when you like to see OpenSSL dump core and you can help yourself in case of problems, of course.
クローズドではない状態が15年くらい保たれているはずです(CVSメインがいつからGITメインに移行したのかは忘れた)。
Re: (スコア:0)
そんなこと書いてないのでは?何か難しく考えすぎじゃないの?
恐らくは目が多いことで誤りがクローズドより発見されやすいのだ(故により安全)という
主張がなされることに対する疑問でしょう
メジャーなソフトでかつ何年も放置されていたのだから、
たまにはあるさ例外的なことだとは片づけにくいのではという指摘だと思うよ
Re: (スコア:0)
OSSが安全と思うやつが悪い
ソースを確認できる、ただそれだけのこと
Re: (スコア:0)
>>ソースを確認できる、ただそれだけのこと
??
それ以上なにを求めることができる?
Re: (スコア:0)
なら危険で使えない人は使えない、使える人は使えるというだけのこと
Re: (スコア:0)
もともと、アンチMSの人々が、MS製品を否定するためにオプソvsプロプラ(クローズドソース)を立ち上げ、オープンソースは周知の目によってチェックされるから安全である、という都市伝説を広めてしまったのが問題。
実際にはオープンソースにしていても致命的で重大な脆弱性は長い間放置されていたし、AppleがオープンソースにしているSafariのSSL問題でもそうだった。
結局、使う立場の人々はオープンソースのソースコードなんてチェックしないのだよ。
チェックしてるのは、開発に協力しようとしている人や動作不良で困ってる人がソースコードを修正しようとみるくらいで、肝心な脆弱性をチェックしようって動いている人は、開発協力者よりも圧倒的に悪意の攻撃者たちが多い。
つまり、オープンソースはクローズドソースより危険な存在なわけ。
クローズドソースの場合、ゼロデイな脆弱性を探すのは苦労するけれど、オープンソースはゼロデイな脆弱性を探すのはクローズドよりは簡単だし。
Re: (スコア:0)
どこを縦読み?
Re: (スコア:0)
http://it.srad.jp/comments.pl?sid=628761&cid=2581261 [srad.jp]
こっちを読む限り、OpenSourceの問題というより、IETFの問題という主張がある模様。
I
Re: (スコア:0)
使ってない機能だからレビューが適当でバグ入りでもコミットされちゃうし、目が向きませんって事ですか?
それじゃ不味いでしょう。
Re: (スコア:0)
オープンソースではコードレビューくらいでテスト仕様書など作らないもの?
Re: (スコア:0)
さんざ言われてますけども…、
「オープンソースならばレビューで『すぐに必ず』不備が見つかる」
なんていつ誰が担保したんですか?
「オープンソースはソースコードを自分で確認することができる」
たったそれだけの約束をフリーライダーたちがひたすら拡大解釈して
『衆人環視に依拠した盲目的な信頼感』を押し付けていただけでしょう。
件のHeartbleedだって、オープンソースだからこそ脆弱性を指摘できてパッチもすぐに出揃って、
今もこうして明確な議論の下にさらすことができているんですよ。
Re: (スコア:0)
えーっと。2年も放置されてたものを「パッチもすぐに出揃って」ってよくもまぁ恥ずかしげもなく書けるもんだ。
悪いけど、その「パッチもすぐに出揃って」ってのがウソ・・・柔らかく言えば、極めて尊大な誇張だって思われてるって事なんだよ。
そもそもオープンソースプロダクトに対する目の神話なんて2008年の時点ですでに否定されている(これもOpenSSLだ!なんてこった)。
http://www.debian.or.jp/blog/openssl_package_and_its_vulnerability.html [debian.or.jp]
これって、問題が起きた時に、誰
Re: (スコア:0)
仮定と推測と憶測と誹謗中傷と藁人形論法と
Re: (スコア:0)
その返しは馬鹿過ぎる。