「UNIX開発者のバックドアを思い出せ」――Linuxの軍..">kouさんのツッコミから。
あと、バザールの基本は好きな者に好きなようにつついてもらう点だと思うのですがSC○みたいなのに粘着されてモチベーション下げるような事も避けたい所ですし。
SCO問題は、Linuxが主題になっているのでオープンソース問題であるかのようにとらえられがちだが、 実際にはオープンソースとはまるで関係ない。彼らの主張は法廷と法廷外で全く違う点に注目する必要がある。
法廷での彼らの主張はこのようなものだ。
IBMはSCOとの契約に反して、SCOが権利を持つUNIXに含まれる技術をLinuxに持ち込んだ
つまり、その本質は「契約違反」である*1。 それは真実かもしれないし、そうでないかもしれない。 が、少なくともこの論理ではSCOと契約を結んでいないものは関係ない。 そもそも契約を結んでいないのだから、契約違反は発生しえない。
つまり、たまたま訴訟の一部に(オープンソースソフトウェアである)Linuxが関連しているという以上には、 この訴訟とオープンソースソフトウェアは関係がない。 これはオープンソースでない他のソフトウェアでも発生しうる問題だ。
ところが、法廷外ではSCOは
LinuxにはSCOが権利を持つコードを含んでいる。 だから、その権利によってLinuxを利用するためにはSCOとライセンスを結ぶ必要がある。
でなければ、(IBMのように)訴えるぞ。
とほのめかしたのである。みごとなFUDだ。
こちらの主張が真実である可能性はかなり低い。 迷惑な話だが、上のような「ほのめかし」程度では罪になるとまでは言えないような気がする。 粘着されるのはたいへん迷惑な話であるが、オープンソースが世間的に注目されるようになると、 なんらかの攻撃の対象になるのは避けられないことのような気がする。
静かにほそぼそとフリーソフトウェアを開発していた頃は平和だった。 が、それで飯を喰える状態ではなかった。
オープンソースが注目される今は、飯は喰えるが、粘着される危険性は高くなった。
なかなか、万事うまくいくとは行かないものだなあ。
続いて「UNIX開発者のバックドアを思い出せ」――Linuxの軍..">kouさんのツッコミの前半から。
つい最近こういう記事もありました。
>「UNIX開発者のバックドアを思い出せ」−Linuxの軍事利用に警鐘
><URL:http://www.itmedia.co.jp/enterprise/0404/14/epi04.html>
この記事を読んで思ったことは、Eric Raymondが語った「沢山の目があれば、どんなエラーも恐くない」*2という言葉は誤解されているということだ。
もちろん、ソースコードが公開されていて、チェックすることができる人がたくさんいれば、 バグは早く見つかるし、対応も速い。
が、だからと言って、どんなにレビューアーがいようと、何人開発者がいようと、 ただそれだけでは、問題が発生する前にバグが発見されるなんてことは決してないということだ。 Ken Thompsonがバックドアを仕込んだ経緯は知らないが、 そのバックドアは14年間決して利用されず、問題は発生しなかったのだろう。 よって積極的にはチェックは行われず、発見もされなかった。
オープンソースの良さは、問題が起きちゃったらすぐに対応できる点だ。 一度でも問題が起きたら困るケースで、 問題が発生する前にバグを発見するためには、地道なテストスイート作成と 繰り返しテストすること、積極的なコードレビューが必要だ。 それはオープンソースだろうとそうでないソフトだろうと同じこと。
さて、ITmediaで紹介されていた。「ダン・オダウド氏」なる人物の主張は
前二者には限定付きで同意できないことはない。 確かに、アメリカと利害関係が対立する人物がLinuxにコードをcontributeして、 そのコードに発見しにくい巧妙なバックドアを仕掛ける「陰謀」が存在する余地が まったくないと断言するのは難しい。
もっとも、そのためにはバックドアは
という相反する要求を満たし、 かつバージョン管理でそのコードがいつ誰によってコミットされたかが明らかになる危険性をかいくぐる必要がある。 もちろん、天才的コーディングでバックドアを用意し、 バージョン管理サーバーもクラックするのだろう。映画みたいだ。
そのような危険性があるので軍事関係にはLinuxを使わないとする。 だとしても私はいっこうに構わないのだが、仮にLinuxを使わないのだとすると、 代わりになにを使うべきか。「安全だと立証されたソリューション」とはなにか。
Windows? Solaris? AIX?
上記の困難を乗り越えてLinuxにバックドアを仕込むという 陰謀説を信じることができる人が、WindowsやSolarisなら大丈夫と言える感性が私には不思議だ。 アメリカ企業たるMicrosoftによって作られているソフトウェアなら安心ということだろうか。 私には、ロシア人開発者よりもマイクロソフトの方がよっぽど野望を持ちそうに思えるのだが。 第三者が検証することは事実上不可能だし。
たいへん(アメリカ的)愛国心のある話ではあるが、論理的ではない。
あるいは「安全だと立証されたソリューション」とは、 身元がはっきりした人間だけを用いてコンピュータは使わないことか。 論理的だが、現実的ではない。
いや、身元がはっきりしているはずの人間が内通者になるのはスパイ映画では常道だ。 誰も信じてはいけない。安全などないのだ。Trust no one.
追記:
KLさんのツッコミによれば、
「安全だと立証されたソリューション」...というのは、Green Hills SoftwareのOS(フットプリントがLinuxに比べ極めて小さく、ソースコードは米航空連邦局の監査をパスしている)ということになります。
だそうだ。うーん、それならそれで論理的ではあるが...。
ということは、軍事目的のOSはすべてそのような小さなOSしか使うなって主張なのかな。 論理的ではあっても、非現実的ではないかなあ。
ITmediaの記事でLinuxに警鐘を鳴らしている人が属するGreen Hills Software(http://www.ghs.com/)というのは、リアルタイムOSを作っている会社です。従って、
>仮にLinuxを使わないのだとすると、代わりになにを使うべき
>か。「安全だと立証されたソリューション」とはなにか。
というのは、Green Hills SoftwareのOS(フットプリントがLinuxに比べ極めて小さく、ソースコードは米航空連邦局の監査をパスしている)ということになります。だからオープンソース論議全般を絡めるのは、開発者の絶対数という点でのLinuxのメリットへの評価を除けば、ことこの批判(Linuxの軍事利用)に関してはミスリーディングです。
Ken Thompsonの話は、http://www.jargon.net/jargonfile/b/backdoor.htmlによると、愉快犯であるようですが、1983年の発表時は牧歌的に笑ってすまされたのかもしれませんけど今日的にはかなり物騒な話ですね 笑 一応本人は否定しているそうですが実際にバックドアが使用された記録が有るとも書いてます。
SCOは、ほのめかしただけではなく、実際にAutoZoneやDaimlerChryslerなどを提訴しているので、法廷外ではなくなっていないでしょうか。ニュースなどを読むかぎり、AutoZoneはLinuxを使っている立場で提訴されているように見えます。
そのため、オープンソースとの関係でいえば「まるで関係ない」とはいいづらくなっていないでしょうか。
AutoZoneもChryslerもSCOの(元)顧客です。>Lefさん
これでSCOと契約を結んだことのない人を訴えたら、
また新たな局面に突入するのですが。
ちょっと記憶が曖昧なのですが、僕が Ken Thompson のトロイの木馬について知ったのは UNIX USER 誌で連載中の「UNIX考古学(多分2003/06)」を読んだのが最初だったと思います。
# 手元に本がないので確認できません。
なんでも Ken のアカウントをこっそり作る仕掛だったらしく、問題が報告されたマシンに電話かけてその場でデバッグしてたんだそうで、
侵入された側も、バグが直してくれたんだから「まぁいいか」と深くは追及しなかったんだとかなんとか、、、
Ken の魔法として語り草になってるとか読んだような記憶が、、、
# ホント曖昧な記憶ですみません、、、
http://www.unixuser.jp/articles/Truth_of_the_Legend/words.html#Turing%20Award
http://www.google.co.jp/search?q=Ken+Thompson+%E3%83%88%E3%83%AD%E3%82%A4%E3%81%AE%E6%9C%A8%E9%A6%AC&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
辺りが参考になると思います。
Ken の自分の書いたコード意外は信用できないというコメントは全くその通りだと思います。
あまり言いたくはありませんが、
実は安全にバックドアを仕掛ける方法、1つ思い付いてしまって
既に誰かが実践しているんじゃないかと思うとかなり絶望感を覚えてます(; ;)。
僕は、AutoZoneの提訴内容は元顧客であるという事実とは関係のない内容だと認識していたので、同じ内容で他の人が提訴されうる状況になったと認識していました。
SCOが訴える動機という意味で元顧客かどうかは影響するのかもしれませんが、外部のユーザーにとっての危険性はAutoZoneの件で大きく変化したように感じています。
(少なくとも提訴内容からみると、ほのめかしではなく実際にやった、わけですよね?)
改めて確認したところ、DaimlerChryslerに対する訴訟は契約違反ですが、
AutoZoneに対する訴訟は著作権侵害によるもののようです。
参考: http://japan.internet.com/busnews/20040304/12.html
ですから、「SCOは、ほのめかしただけではなく、実際に...訴えた」
というLefさんの指摘は正しいです。訂正します。
ただし、訴訟社会アメリカにおいてSCOのような会社が誰を訴える
のかは予測不可能ですから、危険性は実はさほど拡大していないか
もしれません。
ケン・トンプソンがUnixを開発したころと、今では、目の数が極端に違うと思います。なので、実を言うと、上の話は、「今の」オープンソースにはそのままは当てはまらないのだと思います。まあ、そういいつつ、現時点でクラック被害などがでているわけですが。
Kenのバックドアは自己複製コードを使ったようですが、
今そんなことをしたらかえって目立っちゃうかも入れませんね。