MSが日本での政府によるOSS推進に抵抗 151
ストーリー by Oliver
単純比較に意味なし 部門より
単純比較に意味なし 部門より
Vorspiel 曰く、 "MS関連のネタを2つ.
一件目はPC Watchより.
マイクロソフト、電子政府へのオープンソースソフト採用について見解を発表.
『OSSを否定しないとしながらも電子政府実現におけるWindowsの優位性を主張、また、「GPL(General Public License)」に対する批判を展開した』んだそうな.
Halloween VIIでは"Messages that criticize OSS, Linux, & the GPL are NOT effective."と自ら言っているにも関わらず.政府にならつけ入る余地があると考えたってことか?
もう一件は日経 IT Proから.セキュリティが最も弱いOSはLinuxという主張をAberdeen Groupが発表.
こちらが原文のようだ(要登録).
根拠は,2002年に入って10カ月間に報告されたCERT Advisoriesのうち,Windows関連は7件なのに対してOSS関連は16件だから,だそうで.数字としては間違っていないが,実感よりも随分少ないような気が.ウィルス/ワームの類はあまりCAにはならないからだろうか?"
インシデントの多さなら (スコア:4, すばらしい洞察)
今年に入って MS02-066 までいっている一方でCAが7つっていうのは非常に問題ではないかと思うのだが。更に未解決のインシデントも含めると相当の数にのぼる筈。一方でUNIX互換プラットフォームでは今年に入って深刻なインシデントが相次いでるけど,逆に言えばセキュリティ調査の組織・企業との連携が上手くまわりはじめているということではないだろうか (まぁ細かい問題はあるが)。
システム運用においてインシデントの調査 (発見・報告・解決) はかなりのコスト (時間も人もお金も) がかかる。そういう部分をセキュリティ調査をおこなう組織や企業が肩代わりして上手くまわっているということはプラットフォーム選択の上で有利に働く筈である。MSの主張は自ら墓穴を掘っているとしか思えない。
Baldanders
ソースコードの条件付き公開 (スコア:2, 参考になる)
公開の条件 (スコア:2, 参考になる)
Re:公開の条件 (スコア:1)
これって、見方を変えると技術者の囲い込みですよね。
つまり、OS のソースを理解できるくらいの技術者を、1年間、マイクロソフト以外のOSを触らせないということですから。
また、OSの範囲も MS の論理で拡大解釈されてしまえば、ブラウザからなにから、軒並引っ掛かります。
つまり、日本国内において、マイクロソフトが手をひろげている分野の情報技術の人材に鎖をかけようというわなに見えるのですが。
囲い込み?それ言うなら (スコア:2, すばらしい洞察)
スラドじゃ異端扱いだろうからAC
Re:ソースコードの条件付き公開 (スコア:1)
少なくとも、ソースの改変と再配布(有償無償のバリエーションはいろいろとあるだろうが)が可能で、ファイルフォーマットやAPIおよびプロトコルが完全公開でないと、意味ないと思うのだが。
というか、別にソースを見せるだけのというやつは、以前からやってた話で、方針変更というほどのことではないように思うのだが。
Re:ソースコードの条件付き公開 (スコア:2, すばらしい洞察)
・セキュリティ/バグの事前監査と対策要求
・ミドルウェアなどの開発時の資料
それなりの意味はあると思うけど。違う?
独禁法裁判の処分の話とは違うからねえ。
目的はMicrosoftの力を殺ぐ事じゃない。
Re:ソースコードの条件付き公開 (スコア:3, すばらしい洞察)
「バックドア陰謀説の払拭」と「セキュリティ/バグの事前監査と対策要求」のためには,公開されたソースコードが客が実際に動かしているWindowsのものであることが確認できないといけないですよね.実際にビルドして動かすことができれば(コンパイラにあやしいコードが仕込んでいない限り)それなりに安心だと思いますが.
#それ以前にソースをみてセキュリティやバグの事前監査をするのは大変そう.
Re:ソースコードの条件付き公開 (スコア:1)
結んでソースを参照して確認してまで
Windowsを使い続ける決断をするのであれば、
その環境を整えるのはセキュリティ担当者の
義務では(笑)?
わたしはそこまで金と手間が掛かるのなら、
代替手段を考えます。
オープンソースを採用するにしても同じ事。
ソースを閲覧できることをセキュリティが
高い要因のひとつに挙げるのであれば、
そのソースとバイナリの整合性を確保できる
ようにするべきで。
ソースが公開されていても自分でビルド
できないのであれば、「回避策」は打てても
「根本対策」は打てないですよね。
#「使うのをやめる」という根本策が打てるか。
Re:ソースコードの条件付き公開 (スコア:1, すばらしい洞察)
>できないのであれば、「回避策」は打てても
>「根本対策」は打てないですよね。
今日日ソースからMakeするやつなんてほとんどいない罠。
さらに、ソースを読むやつなんてほぼ皆無な罠。
ソースが読めることを利点に挙げてる人間の中で、
どれだけの人間がソースを読み、コードが書けるのだろうかね。
伝家の宝刀ってやつなんだろうが。
(本来の意味は「大事にしてるだけで役に立たない」)
#見られる環境にあることと、
#見て実際に確認することは全くの別問題。
#見て確認しなければ見られないのと同義。
Re:ソースコードの条件付き公開 (スコア:1)
公官庁なり私企業なりから、セキュリティ込みでシステム開発を請け負うところなら、Make くらいやる能力がないと困ると思うのですが。
そういう能力のない業者に発注してしまうとすれば、それは当然発注者の責任ですが。
Re:ソースコードの条件付き公開 (スコア:1, 参考になる)
> さらに、ソースを読むやつなんてほぼ皆無
ここ読んでる人々の中なら、それなりの割合で居るんじゃないかな?
ソース書く人ですらそれなりに多かろうに。
新しげな機能を使おうとすると文書化されてない場合が多くて困るんですが、
ソースが読めたおかげで理解できた、という経験も何度かあります。
確かに人の書いたソースは読みにくいこともあります(多い?)けど、
中には感動的なものもあり、幸運にしてそういうのにあたると非常に勉強になりますね。
Re:ソースコードの条件付き公開 (スコア:1)
(´д`;)
通常よりも確かに確認する必要があって? (スコア:2)
まぁ、その前段階で読める人集めるだけで予算通らないかも。
# 根拠なくてもなんとなくな最近
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:ソースコードの条件付き公開 (スコア:1)
それを使っていいかが問題ですね。
特にバックドア陰謀説の払拭については、
見せて貰ったソースと実際のビルドに
使われているソースが同じものでなければ
意味無いですから。
まさか、見せて貰ったソースに何もなかった
からと言って、パッケージものに何もないと
信じる人がいるとも思えませんけど。
セキュリティはまず疑うことから(爆)
#実は、OS自体には何も仕掛けて無くて、添付
#アプリ等に仕掛けてあるとか(笑)
Re:ソースコードの条件付き公開 (スコア:2, 興味深い)
http://www.asahi-net.or.jp/~ki4s-nkmr/mswatch14.html
1998/09/17 期待できないMSのソース公開に
と有りました。
Masafumi Otsune [otsune.com]
Re:ソースコードの条件付き公開 (スコア:2, すばらしい洞察)
それはともかく,MS社以外でビルドしてみて,実際に動いているバイナリとつきあわせることができるのが重要なので,誰もができる必要はないでしょう.
問題はビルドする環境で,実はMS製のコンパイラやツールをつかってWindowsをビルドすると,(ソースに何もなくても)こっそり怪しい仕組みが仕込まれるようになっていたりして.この疑いを払拭するにはコンパイラから何から全てソース公開してもらって,完全にスクラッチからビルドする必要がありますね.:-P
Re:ソースコードの条件付き公開 (スコア:1)
Re:ソースコードの条件付き公開 (スコア:1)
Re:ソースコードの条件付き公開 (スコア:1, 参考になる)
仕方ないこともなくて、OSのある動作が挙動不審なとき、ソースを追っかけることで原因を追及することができたりします。
頭から全て読むのはとてもたいへんな作業ですが、ソースが読めたおかげで助かったことも、しばし。
CERT勧告 (スコア:2, すばらしい洞察)
問題なのは、その勧告をほったらかしにして、どこまで被害を受けたか どうかが議論されるべきだと思う。
違うだろー (スコア:2, 参考になる)
もっとも、ついこの前、自社の顧客情報をOpen Sourceにしちゃったうえ、さらに社内での周知徹底もできなかった、と言う体制のMSじゃ、信用ならない!という議論も、これはあるけれども。
あと、GPLでは知的所有権立国はできない、というのは、なんか間違ってないか?知的所有権をExclusiveにして、それでカネを取る、というやりかたではない方法が、企業ではなく国家機関にはあると思えますけれども。なにしろ「国民全部の利益のため」なんだから「公開」は「国民の利益」になるけれども、「非公開で独占」は国民の利益になりません、ということだってあるはず。企業と国はその目的や立っているところが違うんだよ。会計の原則もそのために営利企業とそうでないものは違っている。ある意味、国家権力が企業の経済活動を抑制する面もないといけない、ということは、「小さな政府」論の誤謬が露見しつつある最近、あちこちで言われているわけですけれども。
3歳くらいの子供はじぶんが泣いてると周りの人も、ものも、みんな泣いてる、というように思う。自分と他人の立場の違いとかがわからない。なにか、そういう幼児的なところがMSにもあるんじゃないか?
Re:違うだろー (スコア:1)
↓
B:買ってすぐにアップデートが必要
↓
C:とうぜん、簡単にアップデートできたほうが万人にとってセキュア
↓
D:面倒な手続きなしでアップデート可能が良い
↓
E:マウスで数回クリックでアップデートできると幸せ
↓
F:WindowsUpdateマンセー
RedHatは D , Debianは E で落選。
by rti.
Re:違うだろー (スコア:1)
使ったことないんでわからないんですが。
Re:違うだろー (スコア:1)
おれは「こりゃ楽で良い」と思ったが、金払わないと1つしか登録できないので真似して簡易版を自作しようかと思った。
# Perl で Net::FTP 使って接続後に ls やってリストを
# 持ってきて rpm -qa の出力と比較、ていう感じ。
(´д`;)
Re:GPLはいかがなものか(BSDライセンスの方が好き) (スコア:1)
であれば、今でも「官から民への技術転用」できるような物はわずかだと思いますが。
件数 (スコア:1)
それがどれだけ早くFixされるかも重要なポイントではないかと。
Re:件数 (スコア:1)
脊髄反射で書くとロクなことがありません。申し訳ないです…。
自動更新機能 (スコア:1)
多くのLinuxディストリビューションには最近のWindowsで提供 しているような自動更新の技術が欠けている などということ書かれており、そもそもどこまで信用していいか
分からないと言えなくもない。
Re:自動更新機能 (スコア:3, 参考になる)
あるけどな。某社ではWindowsUpdate経由で開発マシンに
インストールされた開発中のドライバに埋め込まれた
発表前の製品名とかコードネームとかが洩れるおそれがある
ということでWindowsUpdate禁止になったぞ。
# ってここまで書いちゃホントはやばいじゃん、ということでAC
Re:自動更新機能 (スコア:1, 興味深い)
あくまでも、「全ての」ではないので反論としては乏しいような。
そりゃぁ、お金を賭ければ自動更新の技術と運用してくれる人なんてそこらじゅうに転がってますよ。
Re:自動更新機能 (スコア:1, 興味深い)
やっぱり IIS (スコア:1, 興味深い)
ついでに(Re:やっぱり IIS) (スコア:1, 参考になる)
(Windows & .NET Magazine Network, (C)2002. Penton Media, Inc.)
とありました。
#だから何
Windows の強制アップグレード (スコア:1, 参考になる)
Re:自動更新機能 (スコア:1, 参考になる)
WindowsUpdate 機能と、自動更新機能とは異なるものです。また、更新可能なものも異なります。今のところ、WindowsUpdate の方が要パッチ判定は高い精度で遂行してくれますが、安定しているわけではありません。hfnetchk も便利なのですが、これまた正しく要パッチ判定ができるわけでもありません。よって、MSのWindowsUpdate,AutoUpdate,hfnetchk も目安に過ぎません。
AutoUpdate の社内ミラー機能であるSUSも便利ですが、AutoUpdateを利用する限り、その性能は十分ではありません。
よって、おそらく、Aberdeen Groupのレポートが想定している自動更新の技術とは、企業向けのSMSのことであると思われます。
Re:自動更新機能 (スコア:1)
Windows updateを強制したい [yahoo.co.jp]とかも最近言ってるみたいです。
DebianやRedHatのアップデートシステム(apt-getやup2date)は、同一バージョンのアップデートである以上、動作に支障が生じないようにバックポーティングですませてくれてるけど、このあたりの考え方が違うのでしょうか...
-- やさいはけんこうにいちば〜ん!
Re:自動更新機能 (スコア:1)
全部バックポートでないと思います。
支障がでそうなものに関して可能な限りバックポートで、ということで
-- やさいはけんこうにいちば〜ん!
Re:自動更新機能 (スコア:1)
#できませんでした、と翻訳した記憶は確かにあるが、二、三回程度です。
えーと (スコア:1, 参考になる)
値段を付けにくいのは事実ですが、GPLにそんな義務はありません。
http://www.gnu.org/philosophy/selling.ja.html
> 「知的財産戦略大綱がだされ、日本を知的財産立国にしよう
> としているときGPLはこれに逆行する」
企業相手ならともかく、政府や自治体相手に言うことではなさげ。
単純な話 (スコア:1)
コードの公開ってのは、そこに至るためのひとつの手段にしか過ぎないはずなのだが。
ZDNET で読むと、ひと味違う (スコア:1)
http://www.zdnet.co.jp/news/0211/27/njbt_02.html [zdnet.co.jp]
の方が直接的、というか、より刺激的な内容のように読める。
いわく
「ただ現在の『オープンソース』議論は『オープンソース』が
何なのかはっきりせず、混乱が生じている」
あるいは
「オープンソースOSに対するWindowsの優位点は主に(1)セキュ
リティ、(2)TCO──の2点。 」
などと述べているんだそうだ。
ちょっと発煙している感じ。
Re:日本の官僚は (スコア:3, すばらしい洞察)
Re:言語は? (スコア:2, おもしろおかしい)
Re:言語は? (スコア:2, おもしろおかしい)
(´д`;)
Re:言語は? (スコア:1)
少なくとも一番最初のデモだけのはそうだというデマを聞いたことが…
* 冗談ですよ~
Re:カーネルとディストリビューション (スコア:1)
MSのセキュリティホール件数がさらに下がりそうですね(w
by rti.
Re:カーネルとディストリビューション (スコア:1, すばらしい洞察)
「分離できない」そうなので、MSのはへりません。
上(?)には上が (スコア:1, 興味深い)
・パッチ情報を入手するのが難しく、実質専属コンサルタント(有償,且つ高価)を要する
・標準機能は(特に日本企業で?)使い物にならず、「カスタマイズ」すると結局スクラッチからの構築と同等(以上)の手間&金額が掛かる事が多い
・「サービスで提供されています」と言う機能を、プレゼンでは「標準機能」としか取れない扱いをする
・ようやく安定してきた、と思う間もなくサポート期間が終了する。バージョンアップは勿論有償
・認定コンサルタント規格を無造作に更新して、シェア拡大の為に重要なパートナ企業からも教育/認定試験 という名目で金を毟り取る
・上記の"実態"が判明する頃には必ず引くに引けない状況になっている
えぇ、某社ERP製品を扱っているとマイクロソフトの遣り口が「可愛い」とさえ思えますよ。
# 「涙止~まれ~」な認定コンサルなのでAC
Re:CERTがすべてではない (スコア:2, 参考になる)
では『CERTを利用して自分のレポートに箔をつけようとしている』
というような(意訳しすぎかな)批判記事も投稿されています。