2014年の教訓:サードパーティのライブラリには脆弱性がある 43
ストーリー by hylom
オープンソースだからといって十分に安全なわけではない 部門より
オープンソースだからといって十分に安全なわけではない 部門より
headless 曰く、
Slashdot記事「2014: The Year We Learned How Vulnerable Third-Party Code Libraries Are」より。
2014年、HeartbleedやShellshock、Poodleといった広く使われているライブラリに存在した重大なバグが注目を集め、ソフトウェア業界を揺るがした。残念なことに専門家たちは、これらのバグが大きな注目を集めただけで、広く使われているオープンソースに潜むバグは他にもあると考え始めている。このことは、「十分な数の目玉があれば、すべてのバグは深刻ではない」というオープンソースの基礎的な概念が単なる神話であることが露呈し始めているようにも見える。
本家/.では「十分な数の目玉が存在するのかどうか」について議論が盛り上がっており、バグが発見できなければ目玉の数が十分でなかったと言えばいいので、この「法則」は常に成立するとのコメントもみられる。なお、このフレーズを生み出したEric S. Raymond氏は、Heartbleedに関するインタビューで「目玉が一切なかったのだ」と述べているそうだ。
目玉の数じゃなくて視野の問題かな (スコア:2)
十分な目玉の数って、たくさんの人に使われてれば普通に使う場合にはバグがなく使えるって事だと思われる。
Heartbleedは目玉が無いんじゃなくて、誰も見えてない隅っこのバグだったんだろう。
どんなに目玉を増やしてもデッドスペースがあると起こり得ることなんだろうね。
見つかったから攻撃に使われた (スコア:2, すばらしい洞察)
目はあったけど報告する口と気が無かったんだよ。
行動を起こす善意の技術者ばかりの時代は終わったんだよ。
Re: (スコア:0)
大抵のボランティアの末路ですな
Re: (スコア:0)
これに尽きますわな
自分も趣味でlinuxカーネル読んでた時に、些細なバグを3つほど見つけてますけど
英語の長文メールで報告する自信もないしLinusにどなり散らされたら怖いので放置してます
# 3.18のソース覗いてみたけど2つはまだ生きてるもよう
Re:目玉の数じゃなくて視野の問題かな (スコア:1)
「不注意な奴らが何人集まったって、セキュアなコードはできっこないんだ」ということは、Theoが既に散々言っていることだと思う。
Re: (スコア:0)
それは目玉の入ってない節穴だよ。
Re: (スコア:0)
女のケツでも見えてたんですかね。
Re: (スコア:0)
ないのはインセンティブだよ
誰が好き好んで他人のコードなんて読むかつの
Re:目玉の数じゃなくて視野の問題かな (スコア:2)
学生とかが勉強のために解読とかあるでしょう。
OSSとか学生が作ってるのもかなりあると思うけど。
または自社製品に組み込む際に一応解読するとか。
それでいいんじゃないの?
Re: (スコア:0)
それで十分な数の目玉だというのならそうなんでしょう
でもESRには目玉扱いされてないよね
Re: (スコア:0)
そうそう。
インターネットが小さかったころは
そういうインセンティブも存在しえたのかもね。
フリーソフトのいいところはタダだってことで
それ以上でも以下でもない。
バグがあるかもしれないのも突然開発終了になるかもしれないのも
買ったものでもタダで持ってきたものでも同じこと。
ソースが公開されてるかなんて全くどうでもいい些末なことだ。
Re: (スコア:0)
目玉がなくて大目玉を食らうっと
Reflections on Trusting Trust by Ken Thompson (スコア:0)
がこのスレで挙がらないのは既知なのか過去の話なのか
Re: (スコア:0)
Re:目玉の数じゃなくて視野の問題かな (スコア:2)
確かにそうだ。
目玉はちゃんとあったね。
POODLEは実装の問題ではない (スコア:2)
POODLE (CVE-2014-3566) [mitre.org]は、実装のバグに起因する脆弱性ではなく、プロトコル自体の脆弱性です。サードパーティ製のライブラリでも、インハウスの実装でも、フリーソフトウェアでも、プロプライエタリソフトウェアでも、SSL 3.0によって通信をする限りは、脆弱性の影響を受けます。
ソース公開すりゃ十分な数の目玉が確保できるわけでもないしな (スコア:1)
よく使われているソフトですら実際に隅々まで目を通しているのって100人もいないだろって
目玉あっても口はなし (スコア:1)
TLSを策定したとき、SSLv3って危ないんじゃないかって、実はわかってましたよね?bashが環境変数で関数を受け渡しできるようなコードを追加されたとき、これも危ないぞって思ってた人いたんじゃないですか?あのプログラムのあの機能はなんかまずいんじゃないかって、思っていても面倒なことになりそうだから見て見ぬ振りをしていませんか?
ディズニーはとっくに知っていた (スコア:1)
バグはあるものとして見つかった後の対策を練っておきましょう (スコア:0)
としか。ソースコードが公開されていようがいまいが。
十分な数の目玉が存在するのかどうか (スコア:0)
百々目鬼呼んで来よう。
Re: (スコア:0)
トンボでおk
Re:十分な数の目玉が存在するのかどうか (スコア:1)
トンボはバグを見つけておまんま食ってるんだぜ
バックドア (スコア:0)
Linuxリリースの最初の時点で
発見されず終いだったバックドアを公表し
教訓が残されていたような
# 教訓があるからといって完璧に順守できるわけじゃない
安全神話 (スコア:0)
監視の目が多いから自分の知らない所でバグは解決され、自分が使うモノに限っては深刻な問題が起きないと思ってる人が多かったってことかと。
#発見されて、修正されて、よりセキュアになったという形で回っているわけだから、それは正常です。
ソースがあるプロプライエタリだって (スコア:0)
あるライブラリにバグがあったんだが
症状をメーカサポートにレポートしても認めやがらねぇ
そのライブラリはソースが公開されていたので
該当箇所を指摘してこんこんと説明してやっと認めた。
そういう姿勢も問題にはあるよなぁ
Re:ソースがあるプロプライエタリだって (スコア:1)
だからってOSSにするだけで勝手にセキュアになるわけじゃないでしょうに
ESRの話でカテドラルとバザールに言及しないのは片手落ちもいいところだな (スコア:0)
「十分な数の目玉がどうこう」って話はバザールの方を言っているわけだけど、実のところオープンソース開発モデルで多く採用されているのはカテドラル型。法人とか著作権者がバラバラになるのを嫌ってるってこともあるけど。
Re: (スコア:0)
十分な目玉 (スコア:0)
ちょうど一番下の格言に十分な目玉云々が表示されてとてもタイムリーな気分に
それとも、関連格言表示してるんですかね
役に立たなかったオープンソースコミュニティとかけて、メガネザルと解く (スコア:0)
目が大きい猿(ザル)
目玉の数はこれ以上減ると維持できない限界まで減る (スコア:0)
人類総家ゴミ脳化が進行中
Re: (スコア:0)
頓珍漢すぎる。
そもそも脆弱性が見つけられるかという問題だ。
Re: (スコア:0)
でも、逆にソースが公開されていれば、脆弱性を利用しやすいという面もある。ルータみたいに、出荷台数や利用環境が多くないと、攻撃対象としては現実的ではないけれどね。
Re: (スコア:0)
コストに見合う成果が期待できるなら、逆アセンブラの使用も厭わない輩も現れると思われる以上、ソース公開は閾の高低にしか係わりがないように思えます。
脆弱性は (スコア:0)
見つけられたなら修正しなくても指摘は出来るでしょ。
Re:脆弱性は (スコア:1)
誰も修正版を出してくれなくても、ソースが公開されてて、脆弱性の詳細が分かれば、自社製品用に修正を行うことは理論的には可能。(開発費用や検証費用の関係で事実上は不可能だけどね。) でも、消費者レベルだと、「脆弱性があります。修正できないから使用を中止してね」って言われるのと、大差なかったりする。
Re: (スコア:0)
当然の話だがVisual Studioにもサポート期間が存在する。
http://support2.microsoft.com/lifecycle/?LN=ja&c1=501 [microsoft.com]
後生大事に古い開発環境や古いランタイムライブラリを使っていると、脆弱性で足をすくわれることにもなる。
でも、意外と、Microsoft Visual Basic 6.0やVisual C++ 6.0の開発環境って資産継承の関係で現役だったりするんだよな、困ったことに。
Re: (スコア:0)
あらら、 Visual Studio 2012もWindows7のメインストリーム終了と同時期に、サービス パック サポートが終了するのか。メインストリーム サポートといったって、現実的にはVisual C++ Runtimeのセキュリティパッチが提供されるだけだものなあ。ないよりましだけど、そのたびに互換性確認試験をやらされる開発者はたまらないわな。
Re: (スコア:0)
これマイナスモデなんだ
一体何が気に入らないのやら