Apache Log4jの脆弱性とともに浮かび上がったオープンソースのメンテナの責任範囲の問題 - YAMDAS現更新履歴

www.jpcert.or.jp piyolog.hatenadiary.jp 先週は Apache Log4j の脆弱性問題が大きな話題となった……と過去形で書いてはいけないのかもしれない。危機はまだ続いている。 今回、脆弱性の破壊力のヤバさとともにクローズアップされたのは、今日、多くのビジネスの生命線となっているオープンソースソフトウェアのメンテナンスが、無報酬であり感謝されない仕事になっており、「オープンソースは壊れている」んじゃないの？ という問題である。 20年以上みんなずっと同じ話してるなと思ってしまうが、オープンソースが壊れている、壊れていないの話がやたらに流れている。この文脈ならフリーソフトウェアの時代からずっと壊れてるんだよ。それでも動いているのは自由だからだよ。— Shuji Sado (佐渡 秀治) (@shujisado) December 14, 2021 dev

[snowcrush]

"最初に問題を指摘したAlibaba のエンジニア側が問題の修正の責任を負うべき" // 途中までそのとおりやなと思って読んでたけどこれはおかしいやろ。報告者に責任取らせると誰も報告しなくなるぞ。

[takahashim]

元記事の指摘は『巨大企業Alibabaのエンジニアが無償メンテナに「早く修正して」と急かした』というBloombergの報道に対し、急かすより金とコード出せ、というものです https://dev.to/yawaramin/the-human-toll-of-log4j-maintenance-35ap

[turanukimaru]

スジ論で言えばAlibabaのエンジニアが脆弱性をふさぐコードを書いてプルリクを送るのがベスト。だってそのためにコードを公開してるんだもの。流石にそれは無理だろうから急かすなら手を貸せカネを出せと言う話でしょ

[gowithyou]

オープソースの責任って何だよ。オープソースに責任持たせたらプロプライエタリと変わらんだろ。悪意ない限り使った側が責任を負うのが当たり前。

[rh-kimata]

"この場合は、最初に問題を指摘した（中略）Alibaba のエンジニア側が問題の修正の責任を負うべきであり" これはこれでクローズドなソースだけ限定的に対応して脆弱性を黙殺するインセンティブを与えてしまうのでは

[aike]

OSSは、自分の使う機能の品質を上げることには多くのエンジニアが貢献するけど、自分の使わない機能の穴を見つけてふさぐインセンティブを持つ人は少ない。公的な団体がOSSの脆弱性発見に賞金をかけるとかがいいのかな

[circled]

ソースを全部公開してあるんだから、問題があったり気に食わなかったら、自分で好き勝手に直せや！がオープンソースなので、log4jがクソなんだが？と言われたら「勝手に直せや」が答えよな。本来は。

[BlueSkyDetector]

最初に問題を指摘したAlibabaのエンジニアの指摘自体には責任はないが、全世界公開の場所で脆弱性情報を投稿した点は問題があると思っている。ゼロデイ脆弱性情報の取扱いのガイドラインとかがあるべきなのかも。

[kenkoudaini]

ABSOLUTELY NO WARRANTY と大体書いてあるのでは

[new3]

仕事として開発・納品物にOSS含めるなら、それを含めて製品開発した企業の責任。見つけた穴を善意でフィードバックしてくれると良いエコシステムになるけど、義務ではない。メンテナ待てないなら最悪forkすれば良い。

[chintaro3]

金がからむと面倒臭いよなぁ。

[strawberryhunter]

知る限りのOSSのライセンスにはAS-IS（現状引き渡し）が明記されているから、メンテナが脆弱性に一切対応しなくても何の責任も無いし脆弱性を指摘した人にも責任は無い。すべて使用者のat your own riskは常識だと思ってた。

[knok]

自分も一時期libsixelのCVE修正だけばっかりしてたので文句言いたくなる気持ちもわからんでもない。今は協力者が増えたのでずいぶん楽になったが…

[sharaku3eyes]

"Please hurry up."って夜中の電話みたいな要求をAlibabaほど大規模にサービス展開して儲けてるOSS利用者側が無報酬のOSSメンテナにするのはおかしいって当たり前だと思うけど

[IGA-OS]

OSSを知らない一般人が盛り上がってしまうと、変な方向に話が向かったりするのだろうか

[tinsep19]

企業所属のフルタイムコミッタ何人いるかを一つの指標に加えるくらいかな。現代のライブラリはエコシステムも含め、依存性がありすぎてクローズドには戻れないし、善意に責任を求めるのはやりすぎ

[usurausura]

元の英文ブログを最初から最後(The suggestion)まで読むか、この日本語の紹介記事だけ読むかで、読者の反応がバッキリ分かれそう

[nil0303]

脆弱性自体は金あれば生まれないというものではないし、むしろこれ金取ってたら文句言われるだけじゃ済まなかったのでは？とも思う。

[ryouchi]

短絡的に「今後オープンソースの使用は絶対禁止」とかっていう会社もあるかもしれんなぁ。

[cl-gaku]

すぐ直ってんから別にええやろ。あとは使うがわの問題や

[baronhorse]

単純にno warrantyだよな。困るのはわかるけど無闇に急かしたりするのは違うわ

[a96neko]

発見者に責任を負わせたら誰も問題を報告しなくなるよ→最初に問題を指摘した（世界的な大企業であり、Log4j の脆弱性で被る金銭的被害額も多大であろう）Alibaba のエンジニア側が問題の修正の責任を負うべきであり

[Shinwiki]

そのオープンソース使って金取ってるとこあるから、責任云々いうならそういうの使えばいい。AWSとかRedHatとかそんなんでしょ確か。

[tettekete37564]

TLSの時も実はたったの一人か二人の日曜エンジニアに依存してたというのが露呈したよね？オプソは好きに使っても良いがその結果に一切責任負わないよ、というのが原則。自己責任で使わなくちゃいけない

[UhoNiceGuy]

なんかのプロジェクトに企業が狙いを絞って労働力を支給って難しいと思うので、OSSコンサルタント企業が総合的にコミットするエコシステムが回るといいと思うんだけどね。red hatってそんな感じじゃなかったっけ？

[kagerou_ts]

これ作者が「知らんがな」スタンプでも貼って放置し続けたら面白いことになったろうなと他人事だから思うけど、これだけ影響でかいと自分だったらようやらんなともな…

[zgmf-x20a]

20年以上前って、そもそも佐渡さんの写真が20年前の写真だし…

[inductor]

「最初に問題を指摘したAlibaba のエンジニア側が問題の修正の責任を負うべき」トンデモ理論だった

[hiroomi]

”Log4j の脆弱性で被る金銭的被害額も多大であろう）Alibaba のエンジニア側が問題の修正の責任を負うべきであり”どう対処するかも自由。うちはこんな感じに対応ぐらいのレポートは出てもよさそ。

[hkanemat]

12月22日の日経記事(Financial Timesの翻訳記事、オピニオン欄) も同じテーマを扱っている https://www.nikkei.com/article/DGXZQOCB204P40Q1A221C2000000

[iww]

オープンソースは利用者も開発者も責任は等しいと思うよ

[sucelie]

名前を付けてライブラリとして公開するのは、そういう謎の責任を背負うからやりたくないと思ってたことが現実になったなぁ。

[matarillo]

Aminのブログ https://dev.to/yawaramin/the-human-toll-of-log4j-maintenance-35ap

[otoan52]

いやもう、使う側の道徳を磨くしかないよなと思うのよね。とはいえ、何にどのくらいお世話になってるのかもはや分からないので、そのへんを整理する財団とかあってもいいのかもしれん。

[honeybe]

「最初に問題を指摘したAlibaba のエンジニア側」は修正を行っても良いし行わなくても(報告だけでも)よい。のがOSSのプロジェクトの健全性に寄与すると思ってる。

[ton-boo]

OSSの利用者が対価も払わずメンテナの責任だけ追求するってのはどうなの、というのはわからなくもない

[hiroyuki1983]

やっぱプロプライエタリじゃないとダメかな。企業の後ろ盾がないソフトはね・・・