パッチが出ても既存のシステムが動かなくなるかもしれないなどと言っていつまでも適用しない人が多い現状を考えれば、確かに秘密にしておいてもそんなに意味はないかもしれませんね
いわゆるネブラスカ問題
これは中々…libxml2に゙依存しているプロダクト(PHPとか)多いのにどうするのでしょうね
"Google Project Zeroは、オープンソースが相手でも脆弱性の指摘しか行わず、脆弱性を修正したりパッチを作成したりすることはありません。高い給料もらってるんだからパッチも書けよといった批判も多々あがります"
「毎週何時間も、第三者から報告されるセキュリティ問題への対応に追われています……私のような無給のボランティアにとって、これは持続不可能です」←オープンソース支持という人たちが助けてやれよ。
重圧無給の仕事なんてブクマカは辞めたら良いって言うんだからこれも同じだよな
“ちなみにAppleは独自に改造したlibxml2を公開していたりします” 人と仲良くできない人たちだ
Googleなりマイクロソフトがメンテナーを厚遇で雇用して、仕としてOSSに関わらせるのが一番なんだろうけど、このメンテナーはもうプロジェクト捨てたがってそうだしなぁ。
牧歌的世界の終わりはあちこちで起きたことだが、OSSにもその波は来てるよな……。
libxml2なんてもう引退させてやれよ…って思うが、C/C++で書かれたXMLパーサーってびっくりするくらいnamespaceをサポートしていないやつが多くて、libxml2はその数少ない例外。xerces-c++はC++だしな…
熊騒動みたい...
Webの世界って本当に善意で動いていて当たり前のようにOSS使っているけど遠からず限界が来るような気もしていてる…
マジか… 「報酬も利益もなく、負わされるのは時間と責任だけ」「そのような立場に好き好んで入り込むのは、よほど風変わりな人しか」むしろ悪意ある人が入り込んでくるリスクすらあるよな。
“ちなみにAppleは独自に改造したlibxml2を公開していたりします。しかし見てのとおりforkされていない独自パッケージであり、Apple専用コードが追加されているため、他プラットフォームで動作するかは怪しいようです。”
OSSタダ乗り問題、なかなか大変だよな。しかしlibxml2がひとりでメンテナンスされてたとは
OSSの基本「ソースあるんだから自分で直せ」に立ち返ることに
こうやってステートメント書いてくれるだけで相当マシ。ただ単にメンテナンスをやめて放置される可能性もあった。
なんかインストールする時、インストールされてないよ?でよく見るのがlibxml2だ。そういうことになっていたのか。どこもない袖は振れないけど、フリーソフトを使って高収益上げる企業はフォローして欲しいなと。
やべぇな…善意による運営は無理があるんだ
誰かが助けてくれるのを期待してるんやろな
XKCDの有名なイラスト「ネブラスカの名も知れぬ人物が感謝もされず2003年からメンテしているプロジェクト」の実物だ
ボランティアベースの問題点が出てるね。一部の人の善意、意欲に乗っかり問題。Appleが独自公開しているみたいだけど、公開してればいいのでは。OSSの「気に入らなければフォーク」を活用しているように見える
R.I.P.
・OSS開発者がタダ働きさせられ、全く稼げていない問題 / しかし強烈だなー
インフラレベルになった oss をボランティアで維持するのは無理でしょう
個人開発に依存する重要な根幹ライブラリの持続性について。サポートする枠組みはいくつか立ち上がっているが、それに乗っていないものは厳しい現状が続いている。
そもそもボランティアベースのOSSに対して商用プロダクトと同様にセキュリティ問題を扱えって方が無理でそれを業界標準って言ってるこの記事や業界人の方がおかしい。問題は即公開して誰かがプルリク出せばいい。
『協調的脆弱性開示プロセスは、OSSメンテナーにタダ働きを行わせるための脅迫でしかない、というなかなか強烈な主張です』善意だけでは続かんよな。ソフトウェアはメンテ期間の方が遥かに長いしモチベも続かない
“OpenSSFのような"ベストプラクティス"は、大手テクノロジー企業がOSSメンテナーに罪悪感を抱かせ、無償で働かせようという圧力に過ぎません。”
OSSでも商業利用は従量課金っていうのが健全なんだろうな。
“ちなみにAppleは独自に改造したlibxml2を公開していたりします” → macOSやiOSの設定周りのファイルがXMLだものな
メンテナーは責任感じすぎ。 oss なんだから、何かあっても使う人の責任。 at your own risk.
強欲なクラウドベンダーやソフトベンダーやアプリデベロッパーが ”タダ乗り” しているのが悪い。それでもたかが知れた額なのだから、強制的に徴収するプロセスを作ることも検討すべき状況では?
npm fund が貢献できているのなら apt fund とかあってもよさそう
Log4jとua-parser-js id:entry:4712859481063677666 Heartbleed発覚時のOpenSSL id:entry:192349350 オープンソース開発におけるネブラスカ問題id:entry:4758160212282460032
libxml2だけじゃなくlibxsltも同じ人が見てたのか。感謝で飯は食えないよなあ
AppleはRubyでWEBrickの脆弱性を自分だけ修正してアップストリームに報告してなかった前科もある
Rubyでもnokogiriが libxml2, libxslt を抱え込んでいるのは自分たちで面倒みるためだったはず
これは深刻そう
報酬だけの話じゃないよな、時間だって取られるんだもの
日本のエンジニアの「アウトプット」と称して無意味な記事の量産に時間を使っている人たちは、このような地味だけど重要なところに貢献してみたら?これが真の「アウトプット」ですよ。少なくとも私は尊敬します。
企業はOSSメンテナを雇用すべき。
“協調的脆弱性開示プロセス” を回避。 "OSS「Open Source Software〕開発者が全く稼げていない問題"
あーこのソフトも「なんちゃらかんちゃらネブラスカ」案件か…
重要コンポーネントはどこかのOSS財団か企業に属さないと無理だろうなぁ。コンポーネント単体にカネを払うとか面倒くさそう。xml パーサってキラキラしてないからなぁ。
あらら、libxml2さんがおやすみしちゃったにゃ…寂しいけど、ボクが癒してあげるにゃ!
Google Project Zeroは脆弱性発見という一番ニュースバリューのあるところだけやってあとの地味で面倒な作業は知らんという方針.ならばOSSプロダクト側も地味で面倒な作業は俺以外の誰かが頑張ってという方針もありだよな
FFmpegのときに話題になってたやつ…報酬にならない負担は何処へ…
これでメンテナーを無責任だと批判する人がいるの、あれじゃん 手を差し伸べなかった人より差し伸べた人の方が後から恨みを買いやすいってやつ
CVE slopねぇ。
米国を中心とした現場の手を動かしている人に報酬が適切に分配されない問題なんだろうな。氷山の一角。インフラ品質が悪化して大停電おこしたり道路陥没したりするわけよ。
当たり前としか思えなかった
無理に続けずにメンテナンスしてられないプロジェクトはメンテナンスしていないと表明してやめるのも大事
……国連が金出せばいいのでは。
SimpleXMLとか使ってみたことあるけどあれlibxml2に依存してたんか
ネブラスカ問題のイラストあった。 https://xkcd.com/2347/ 論文も見つかった。 https://jxiv.jst.go.jp/index.php/jxiv/preprint/view/180/792
持続可能性がないなー。オープンソースへのコミットもSDGsに含めるべきじゃないか?
“Googleが真剣にハッカー対策をしたいのであれば、パッチを送ったり資金援助したりするでしょう。 彼らは単にCVEバッジを集めたいだけです。” ぐう正論
煌びやかなOSSにはやたら寄付集まってるのに、縁の下の力持ち的な存在には全然なんだな
あらららら
かなしいな
まさに xkcd の「Dependency」(#2347)じゃねーか…
LLMテストやん
各種OSSライセンス条文の無保証と免責を読み返して欲しい。無保証なライブラリを組み合わせて勝手な保証をつけてソフトウェア製品を販売してる実態の皺寄せを末端の善良な技術者に擦り付けるな。
OSSに限らず、ボランティアにただ乗りして破綻するケースはよく聞く
下層レイヤーは広告貼れないからな https://github.com/GNOME/libxml2
こういうの、OSSに限らず何とかならんのかね…
ちなみにChromeっていうかChromiumはlibxml2の依存を取り除く事を大分前から検討済みでRustで作り直している最中だった筈
限界集落のプロジェクトに見切りをつけたビッグテックが自社内フォークしてる最中に見つけた脆弱性を「善意で」報告してるのに「タダ乗りしてる」って苦言を呈されてるという見立ても可能か。firefox翻訳騒動も
「Google Project Zeroは、オープンソースが相手でも脆弱性の指摘しか行わず、脆弱性を修正したりパッチを作成したりすることはありません」
おー、マジですか。rubyのnokogiriでずいぶんお世話になりました。このおかげで、作家になれたと言っても過言ではない
すとうさんがいう 共有されればされるほど、みんなが儲かる仕組み を考えないと
【libxml2】libxml2プロジェクトは放棄されました - Qiita
パッチが出ても既存のシステムが動かなくなるかもしれないなどと言っていつまでも適用しない人が多い現状を考えれば、確かに秘密にしておいてもそんなに意味はないかもしれませんね
いわゆるネブラスカ問題
これは中々…libxml2に゙依存しているプロダクト(PHPとか)多いのにどうするのでしょうね
"Google Project Zeroは、オープンソースが相手でも脆弱性の指摘しか行わず、脆弱性を修正したりパッチを作成したりすることはありません。高い給料もらってるんだからパッチも書けよといった批判も多々あがります"
「毎週何時間も、第三者から報告されるセキュリティ問題への対応に追われています……私のような無給のボランティアにとって、これは持続不可能です」←オープンソース支持という人たちが助けてやれよ。
重圧無給の仕事なんてブクマカは辞めたら良いって言うんだからこれも同じだよな
“ちなみにAppleは独自に改造したlibxml2を公開していたりします” 人と仲良くできない人たちだ
Googleなりマイクロソフトがメンテナーを厚遇で雇用して、仕としてOSSに関わらせるのが一番なんだろうけど、このメンテナーはもうプロジェクト捨てたがってそうだしなぁ。
牧歌的世界の終わりはあちこちで起きたことだが、OSSにもその波は来てるよな……。
libxml2なんてもう引退させてやれよ…って思うが、C/C++で書かれたXMLパーサーってびっくりするくらいnamespaceをサポートしていないやつが多くて、libxml2はその数少ない例外。xerces-c++はC++だしな…
熊騒動みたい...
Webの世界って本当に善意で動いていて当たり前のようにOSS使っているけど遠からず限界が来るような気もしていてる…
マジか… 「報酬も利益もなく、負わされるのは時間と責任だけ」「そのような立場に好き好んで入り込むのは、よほど風変わりな人しか」むしろ悪意ある人が入り込んでくるリスクすらあるよな。
“ちなみにAppleは独自に改造したlibxml2を公開していたりします。しかし見てのとおりforkされていない独自パッケージであり、Apple専用コードが追加されているため、他プラットフォームで動作するかは怪しいようです。”
OSSタダ乗り問題、なかなか大変だよな。しかしlibxml2がひとりでメンテナンスされてたとは
OSSの基本「ソースあるんだから自分で直せ」に立ち返ることに
こうやってステートメント書いてくれるだけで相当マシ。ただ単にメンテナンスをやめて放置される可能性もあった。
なんかインストールする時、インストールされてないよ?でよく見るのがlibxml2だ。そういうことになっていたのか。どこもない袖は振れないけど、フリーソフトを使って高収益上げる企業はフォローして欲しいなと。
やべぇな…善意による運営は無理があるんだ
誰かが助けてくれるのを期待してるんやろな
XKCDの有名なイラスト「ネブラスカの名も知れぬ人物が感謝もされず2003年からメンテしているプロジェクト」の実物だ
ボランティアベースの問題点が出てるね。一部の人の善意、意欲に乗っかり問題。Appleが独自公開しているみたいだけど、公開してればいいのでは。OSSの「気に入らなければフォーク」を活用しているように見える
R.I.P.
・OSS開発者がタダ働きさせられ、全く稼げていない問題 / しかし強烈だなー
インフラレベルになった oss をボランティアで維持するのは無理でしょう
個人開発に依存する重要な根幹ライブラリの持続性について。サポートする枠組みはいくつか立ち上がっているが、それに乗っていないものは厳しい現状が続いている。
そもそもボランティアベースのOSSに対して商用プロダクトと同様にセキュリティ問題を扱えって方が無理でそれを業界標準って言ってるこの記事や業界人の方がおかしい。問題は即公開して誰かがプルリク出せばいい。
『協調的脆弱性開示プロセスは、OSSメンテナーにタダ働きを行わせるための脅迫でしかない、というなかなか強烈な主張です』善意だけでは続かんよな。ソフトウェアはメンテ期間の方が遥かに長いしモチベも続かない
“OpenSSFのような"ベストプラクティス"は、大手テクノロジー企業がOSSメンテナーに罪悪感を抱かせ、無償で働かせようという圧力に過ぎません。”
OSSでも商業利用は従量課金っていうのが健全なんだろうな。
“ちなみにAppleは独自に改造したlibxml2を公開していたりします” → macOSやiOSの設定周りのファイルがXMLだものな
メンテナーは責任感じすぎ。 oss なんだから、何かあっても使う人の責任。 at your own risk.
強欲なクラウドベンダーやソフトベンダーやアプリデベロッパーが ”タダ乗り” しているのが悪い。それでもたかが知れた額なのだから、強制的に徴収するプロセスを作ることも検討すべき状況では?
npm fund が貢献できているのなら apt fund とかあってもよさそう
Log4jとua-parser-js id:entry:4712859481063677666 Heartbleed発覚時のOpenSSL id:entry:192349350 オープンソース開発におけるネブラスカ問題id:entry:4758160212282460032
libxml2だけじゃなくlibxsltも同じ人が見てたのか。感謝で飯は食えないよなあ
AppleはRubyでWEBrickの脆弱性を自分だけ修正してアップストリームに報告してなかった前科もある
Rubyでもnokogiriが libxml2, libxslt を抱え込んでいるのは自分たちで面倒みるためだったはず
これは深刻そう
報酬だけの話じゃないよな、時間だって取られるんだもの
日本のエンジニアの「アウトプット」と称して無意味な記事の量産に時間を使っている人たちは、このような地味だけど重要なところに貢献してみたら?これが真の「アウトプット」ですよ。少なくとも私は尊敬します。
企業はOSSメンテナを雇用すべき。
“協調的脆弱性開示プロセス” を回避。 "OSS「Open Source Software〕開発者が全く稼げていない問題"
あーこのソフトも「なんちゃらかんちゃらネブラスカ」案件か…
重要コンポーネントはどこかのOSS財団か企業に属さないと無理だろうなぁ。コンポーネント単体にカネを払うとか面倒くさそう。xml パーサってキラキラしてないからなぁ。
あらら、libxml2さんがおやすみしちゃったにゃ…寂しいけど、ボクが癒してあげるにゃ!
Google Project Zeroは脆弱性発見という一番ニュースバリューのあるところだけやってあとの地味で面倒な作業は知らんという方針.ならばOSSプロダクト側も地味で面倒な作業は俺以外の誰かが頑張ってという方針もありだよな
FFmpegのときに話題になってたやつ…報酬にならない負担は何処へ…
これでメンテナーを無責任だと批判する人がいるの、あれじゃん 手を差し伸べなかった人より差し伸べた人の方が後から恨みを買いやすいってやつ
CVE slopねぇ。
米国を中心とした現場の手を動かしている人に報酬が適切に分配されない問題なんだろうな。氷山の一角。インフラ品質が悪化して大停電おこしたり道路陥没したりするわけよ。
当たり前としか思えなかった
無理に続けずにメンテナンスしてられないプロジェクトはメンテナンスしていないと表明してやめるのも大事
……国連が金出せばいいのでは。
SimpleXMLとか使ってみたことあるけどあれlibxml2に依存してたんか
ネブラスカ問題のイラストあった。 https://xkcd.com/2347/ 論文も見つかった。 https://jxiv.jst.go.jp/index.php/jxiv/preprint/view/180/792
持続可能性がないなー。オープンソースへのコミットもSDGsに含めるべきじゃないか?
“Googleが真剣にハッカー対策をしたいのであれば、パッチを送ったり資金援助したりするでしょう。 彼らは単にCVEバッジを集めたいだけです。” ぐう正論
煌びやかなOSSにはやたら寄付集まってるのに、縁の下の力持ち的な存在には全然なんだな
あらららら
かなしいな
まさに xkcd の「Dependency」(#2347)じゃねーか…
LLMテストやん
各種OSSライセンス条文の無保証と免責を読み返して欲しい。無保証なライブラリを組み合わせて勝手な保証をつけてソフトウェア製品を販売してる実態の皺寄せを末端の善良な技術者に擦り付けるな。
OSSに限らず、ボランティアにただ乗りして破綻するケースはよく聞く
下層レイヤーは広告貼れないからな https://github.com/GNOME/libxml2
こういうの、OSSに限らず何とかならんのかね…
ちなみにChromeっていうかChromiumはlibxml2の依存を取り除く事を大分前から検討済みでRustで作り直している最中だった筈
限界集落のプロジェクトに見切りをつけたビッグテックが自社内フォークしてる最中に見つけた脆弱性を「善意で」報告してるのに「タダ乗りしてる」って苦言を呈されてるという見立ても可能か。firefox翻訳騒動も
「Google Project Zeroは、オープンソースが相手でも脆弱性の指摘しか行わず、脆弱性を修正したりパッチを作成したりすることはありません」
おー、マジですか。rubyのnokogiriでずいぶんお世話になりました。このおかげで、作家になれたと言っても過言ではない
すとうさんがいう 共有されればされるほど、みんなが儲かる仕組み を考えないと