アカウント名:
パスワード:
今回はまだ「有名パッケージのコピー」という偽物だったからすぐに対処されて終わったがこれがスマホの某アプリのように、とりま無料かつ広告なしの優良アプリとして名を馳せておいてある程度知名度が出てから、ある日突然、無料版は有料版への橋渡しアプリと化したりしたらどうなんの?例えばOpenPyXLの作者なんかが、ある日突然小遣い稼ぎがしたくなってそんなことやりだしたらどうにもならなくね?「有名パッケージのコピー」という紛い物だったから、今回は難無く対処できたけど、正規の作者がマルウェア仕込むのは止められないよねしかもこれ、PyPIだけでなくCPANやGems、更にはGoやRustのようにGitHubから直接落としてくるタイプのパッケージマネージャを使っていても対処不可能
この事件は歴史を変えたお金が稼ぎたくなった作者からどんどん後に続いてくぞこれ
#性善説は脆弱
> これがスマホの某アプリのように、とりま無料かつ広告なしの優良アプリとして名を馳せておいて> ある程度知名度が出てから、ある日突然、無料版は有料版への橋渡しアプリと化したりしたらどうなんの?
そんなんこの件に限った話じゃないじゃん。
他は知らんがCPANは承認作業必要じゃなかったっけ?なんか色々登録して必要だったような?
そもそも事業環境で作るならそんな調査もしてないものをインストールすんなとしか。
> そもそも事業環境で作るならそんな調査もしてないものをインストールすんなとしか。
だよね。仕事でapt get upgradeする人はインストール前にソースを全部レビューするのが常識。
>正規の作者がマルウェア仕込むのは止められないよね
そのとおりだが、露見した時点で「正規の作者」が詰むので問題なかろう。
Filezillaの作者は詰みましたか?
なにいっとるんだ? 無料ソフトウェアが有料化するなんて今までもごまんと例があっただろう。その論点に新規性はなにもないよ。
何それ、Linux全否定なの?それどころか、MicrosoftやApple、Googleが同じ事しても防げないじゃん。
性善説っていうより、自分の能力を超えた物を扱うには、信頼出来る何かが必要ってだけでしょう。結局、自分がどこまで信用するかってだけの、チキンゲームです。
今回の件で、PyPIの信用が落ちたのは言うまでも無いので、何か対策を打って欲しいですね。
ソース読めってことだよ公開されてるんだから読まないやつが悪い
なるほど。ソース読むコストも考えたら、オープンソースを業務に使用するなんて無理だな。
伽藍とバザールの頃は、オープンソースは誰かがソース読むから悪意は発見されるという超楽観論だったんだよ。ソフトウェアの規模が大きくなり、利用も増えるにしたがって、そうも行かなくなった。財団や企業が管理し、ソースをコミットする管理者が置かれるようになった。デュストリビューションの管理者は、ソフトウェアを検証してパッケージを整備するようになった。これで開発者じゃ無い人も、オープンソースソフトウェアを安心して使えるようになった。
でも今でも、信頼出来ない相手のgithubや、モデレーターの居ないリポジトリは自らソース読むしか無い。得てしてパッケージマネージャーは芋づる式なので、困るが。自分で一から書き直すか、ソースを読むか。もしくは有料のソフトウェアを使うか、それは自由だ。
動作検証する手間を考えたらオープンソース以上にプロプライエタリは使えないな
なんで?オープンソースでも動作検証は必要だよ。プロプライエタリなら一部環境での検証はベンダー側がやってくれてるから、少し手間が減る。仮に動作検証が同じコストとしても、ソース読むというか、素性確認も必要だからオープンソースの方がコストがかかる。
そのベンダーは信用できるのですかー?
#堂々巡り
ベンダーが悪意持ってたらどーすんだよ!!(難癖
難癖と分かったうえで書いてるようなのでこっちに返信。
ベンダーが悪意もってて何か起きた場合は、大抵開発者は許される。特に大手ベンダーのソフトであればあるほど、利用した開発者の責任を問われる確率は下がる。
オープンソースを利用して、悪意ある何かに巻き込まれた場合、開発者の責任を問われる確率が高くなる。なぜそれを選んだのかとか、ソースあるのに見抜けなかったのかとか。ユーザは責任の所在を問うものなので、プロプライエタリと違って責任転嫁の先がないのが問題。
じゃけん気に入らなくなったらforkしましょうねえ〜
Baudu「有名アプリの作者が権利ごと売り渡してマルウェア化とか、そんなのに引っかかる人いませんよ」
npmとかでも起きてますねhttps://iamakulov.com/notes/npm-malicious-packages/ [iamakulov.com]
去年だかにもあったきがするのだが
性善説、性悪説というバズワード。
信頼するかしないかはユーザーの判断下になければならない。その実現のために、極小の労力で全リソースを管理する世界の実現のために、数多の技術が設計されてきた。信頼の連鎖の中にあるものは善きもの、その外にあるものは悪しきものとして扱われる。コンピューティングにおいて善悪の領域を決めるのは他者ではない。
いいまわしがボトムズの次回予告っぽい
#次回、『信頼』。自身自身はリングから外れているとしても。
あなたnemui4に親でも殺されたのですか
こうやってnemui4を指摘するやつは基地という評判を醸成してるのですねw
なるほど、アンチアンチnemui4の工作と。高度すぎてついていけねぇわ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
サラッと書いてあるけど物凄い事件だな (スコア:-1)
今回はまだ「有名パッケージのコピー」という偽物だったからすぐに対処されて終わったが
これがスマホの某アプリのように、とりま無料かつ広告なしの優良アプリとして名を馳せておいて
ある程度知名度が出てから、ある日突然、無料版は有料版への橋渡しアプリと化したりしたらどうなんの?
例えばOpenPyXLの作者なんかが、ある日突然小遣い稼ぎがしたくなってそんなことやりだしたらどうにもならなくね?
「有名パッケージのコピー」という紛い物だったから、今回は難無く対処できたけど、正規の作者がマルウェア仕込むのは止められないよね
しかもこれ、PyPIだけでなくCPANやGems、更にはGoやRustのようにGitHubから直接落としてくるタイプのパッケージマネージャを使っていても対処不可能
この事件は歴史を変えた
お金が稼ぎたくなった作者からどんどん後に続いてくぞこれ
#性善説は脆弱
Re:サラッと書いてあるけど物凄い事件だな (スコア:1)
> これがスマホの某アプリのように、とりま無料かつ広告なしの優良アプリとして名を馳せておいて
> ある程度知名度が出てから、ある日突然、無料版は有料版への橋渡しアプリと化したりしたらどうなんの?
そんなんこの件に限った話じゃないじゃん。
Re: (スコア:0)
他は知らんがCPANは承認作業必要じゃなかったっけ?
なんか色々登録して必要だったような?
そもそも事業環境で作るならそんな調査もしてないものをインストールすんなとしか。
Re: (スコア:0)
> そもそも事業環境で作るならそんな調査もしてないものをインストールすんなとしか。
だよね。仕事でapt get upgradeする人はインストール前にソースを全部レビューするのが常識。
Re: (スコア:0)
>正規の作者がマルウェア仕込むのは止められないよね
そのとおりだが、露見した時点で「正規の作者」が詰むので問題なかろう。
Re: (スコア:0)
Filezillaの作者は詰みましたか?
Re: (スコア:0)
なにいっとるんだ? 無料ソフトウェアが有料化するなんて今までもごまんと例があっただろう。
その論点に新規性はなにもないよ。
Re: (スコア:0)
何それ、Linux全否定なの?
それどころか、MicrosoftやApple、Googleが同じ事しても防げないじゃん。
性善説っていうより、自分の能力を超えた物を扱うには、信頼出来る何かが必要ってだけでしょう。
結局、自分がどこまで信用するかってだけの、チキンゲームです。
今回の件で、PyPIの信用が落ちたのは言うまでも無いので、何か対策を打って欲しいですね。
Re: (スコア:0)
ソース読めってことだよ
公開されてるんだから
読まないやつが悪い
Re: (スコア:0)
なるほど。
ソース読むコストも考えたら、オープンソースを業務に使用するなんて無理だな。
Re:サラッと書いてあるけど物凄い事件だな (スコア:1)
伽藍とバザールの頃は、オープンソースは誰かがソース読むから悪意は発見されるという超楽観論だったんだよ。
ソフトウェアの規模が大きくなり、利用も増えるにしたがって、そうも行かなくなった。
財団や企業が管理し、ソースをコミットする管理者が置かれるようになった。
デュストリビューションの管理者は、ソフトウェアを検証してパッケージを整備するようになった。
これで開発者じゃ無い人も、オープンソースソフトウェアを安心して使えるようになった。
でも今でも、信頼出来ない相手のgithubや、モデレーターの居ないリポジトリは自らソース読むしか無い。得てしてパッケージマネージャーは芋づる式なので、困るが。
自分で一から書き直すか、ソースを読むか。もしくは有料のソフトウェアを使うか、それは自由だ。
Re: (スコア:0)
動作検証する手間を考えたらオープンソース以上にプロプライエタリは使えないな
Re: (スコア:0)
なんで?
オープンソースでも動作検証は必要だよ。
プロプライエタリなら一部環境での検証はベンダー側がやってくれてるから、少し手間が減る。
仮に動作検証が同じコストとしても、ソース読むというか、素性確認も必要だからオープンソースの方がコストがかかる。
Re: (スコア:0)
そのベンダーは信用できるのですかー?
#堂々巡り
Re: (スコア:0)
ベンダーが悪意持ってたらどーすんだよ!!(難癖
Re: (スコア:0)
難癖と分かったうえで書いてるようなのでこっちに返信。
ベンダーが悪意もってて何か起きた場合は、大抵開発者は許される。
特に大手ベンダーのソフトであればあるほど、利用した開発者の責任を問われる確率は下がる。
オープンソースを利用して、悪意ある何かに巻き込まれた場合、開発者の責任を問われる確率が高くなる。
なぜそれを選んだのかとか、ソースあるのに見抜けなかったのかとか。
ユーザは責任の所在を問うものなので、プロプライエタリと違って責任転嫁の先がないのが問題。
Re: (スコア:0)
じゃけん気に入らなくなったらforkしましょうねえ〜
Re: (スコア:0)
Baudu「有名アプリの作者が権利ごと売り渡してマルウェア化とか、そんなのに引っかかる人いませんよ」
Re: (スコア:0)
npmとかでも起きてますね
https://iamakulov.com/notes/npm-malicious-packages/ [iamakulov.com]
去年だかにもあったきがするのだが
Re: (スコア:0)
性善説、性悪説というバズワード。
信頼するかしないかはユーザーの判断下になければならない。その実現のために、極小の労力で全リソースを管理する世界の実現のために、数多の技術が設計されてきた。
信頼の連鎖の中にあるものは善きもの、その外にあるものは悪しきものとして扱われる。
コンピューティングにおいて善悪の領域を決めるのは他者ではない。
Re: (スコア:0)
いいまわしがボトムズの次回予告っぽい
#次回、『信頼』。自身自身はリングから外れているとしても。
Re: (スコア:0)
あなたnemui4に親でも殺されたのですか
Re: (スコア:0)
こうやってnemui4を指摘するやつは基地という評判を醸成してるのですねw
Re: (スコア:0)
なるほど、アンチアンチnemui4の工作と。高度すぎてついていけねぇわ