Ａ君のたわごと
-----------------------------------------------------------------------------
   この物語はフィクションであり、実在するいかなる人物、団体名とも関係ない
-----------------------------------------------------------------------------

「オープンソースとの付き合い方」


最近いろいろ話題になっているOpenSSL祭りについて

いろいろなアナウンスを見るたび
”げげ！マジかよ！”という気持ちになるが
今回はなんとかなりそうである。

アナウンスを見てみると今回はかなりいろいろな製品で範囲でOpenSSL
が使われていることに驚いている。
TVのニュースで取り上げられているが一般の人には何のことやら？？であろう。

OpenSSLも最近になっていろいろなバージョンが出てきてちょっと
混乱気味であった。
1.0.0が出て1.0.1が出て最近は1.0.2まで作られている。
その一方、とあるOSのベースシステムは0.9.8系がまだ使われている。
1.0.1が出た頃は長い間β版だったのでなんとなくいやな予感がして
採用う見送った。
普通の人が普通に使う場合0.9.8系で機能不足ということはないと思うが
考えが甘いのかな。

辛口で有名なカナダの＊BSDのプロジェクトの人は”ハートビートなんか不要だ”
と言い張っている。この人はOpenSSLプロジェクトでなくRFC6520を決
めたIETFに文句を言っているようである。
TLS層でやることではなく用途も不明なのでそう感じているのであろう。

一般的にソフトのバージョンアップでははBUGFix+新機能という組み合わせが
多い。BUGFIXだけで新バージョンにすることはされない。
これではバージョンアップしてもBUGFix+新たなBugありになる可能性が高い。

使う側も無条件に最新版を採用するか、リリースノートを読んで考えるか。
それが問題である。

ベンダーによっては最新版ではなく古いバージョンに手を加えて使い続けている。
品質を保つためには良い方法であるがこの方法はマンパワーが無いと続かない。
このようなベンダーは独自のリポジトリで管理しているようである。
一方、最新版を使うベンダーもある。
今回は最新を追いかけている人たちが影響を受けている。

この手のソフトはソースファイルを見ることができるが、真剣に見ていることはない。
リリースノートを良く読むことが大切である

これはOpenSSLに限らずDNSも同じような問題を抱えている。
最近またDNSキャッシュポイズニングに関する話題が増えてきている
「重複をお許しください」メールも出ている。
ただ、内容がかなり前のものと同じであったので”なぜこのタイミングで？”
と思う人も多いのではないか。
OpenSSL問題と会わせ技で何かが起こっているのかもしれない。