中田真秀(なかたまほ)のブログ

研究について、日常について、その他。

広告

※このエリアは、60日間投稿が無い場合に表示されます。記事を投稿すると、表示されなくなります。

OpenOffice.org日本語版のセキュリティ対策の不十分な状況と参加の呼びかけ

2010-04-22 16:37:29 | 日記
(4/23 12:46微調整)
私はOpenOffice.org日本語プロジェクトリード、かつ、OpenOffice.org Quality Assurance project leadで、さらにsecurity teamのメンバーである(なぜsecurity teamか? これはFreeBSD portingという利害である。何でもやっておくものだ;ただ、立場上情報を公にはできない。確認したくばmahoを指名して、セキュリティ報告をせよ)。

現状、OpenOffice.org日本語版を官公庁など公共機関で利用するには、セキュリティ対策が不十分である。そして誰でも参加できて、参加し、結果報告するだけで、対策できる。またプロセスの改善への参加も大歓迎である。なおアシストの「OpenOffice.org支援サービス」では、セキュリティポリシーは私には教えていただけ無かった。公開してないようでもある。情報を待っている。少なくともリリース品質保証には一度も参加していただいていない。つまりセキュリティ脆弱性については深く考えてないと考えられる。皆さんの参加を求めている。

昨年、高知県は、OpenOffice.orgを不採用とした。セキュリティ対策の不備が理由のひとつである(庁内の PC 約 3,000 台に、Microsoft Office 2007 と Windows Vista を採用)これは妥当な判断である。私も国民としてOpenOffice.orgの採用を全く賛成できない。最悪のシナリオでは、防衛省が機密文書をOpenOffice.orgで書いたとして、脆弱性から機密文書がネットに流れてしまったら、外交上の問題に発展する可能性というのも考えられるだろう。その上、「不採用」こういう判断を多くの自治体が積み重ねると、日本でのOpenOffice.org普及の大きな足かせになってしまう。そうなってしまわないため、ぜひ皆さんにこの点を改善していただきたいと思って、このブログエントリを書いた。
(会津若松市役所は大丈夫である。補遺を参照)

構成は

OpenOffice.org日本語版のセキュリティについて。日本語プロジェクトの機能について。リリース品質保証の状況。まのままでは公の機関で使うのが危険なこと。公的機関などで使うためにどういう参加が必要か。補遺。この順に説明する。

OpenOffice.org日本語版のセキュリティについて。
OpenOffice.orgのセキュリティー脆弱性の修正であるが、現在、リリースを行うことで修正しており、修正パッチなどのリリースは行っていない(以前あったことはあるが)。だから日本語版のリリースをすることがとても重要である。

日本語プロジェクトの機能について。

OpenOffice.org日本語プロジェクトの機能で重要なものに「どこからか」出てくる日本語版のリリース候補の品質保証をし、そして、リリース許可、アナウンスを行うというものがある。何も日本版に限ったわけではなく、3.2.0リリース候補5が公式化されるプロセスを見ると、英語版、ドイツ語版、フランス語版、PowerPCLinux版なども品質保証をへて、リリースされていることがわかる。プロセスとしても定義されている。
> Each Localization team or Native-Language project should,
> regardless of its resources, time and manpower,
> run some QA (Quality Assurance) tests on its localized builds.

誰が行うか? jaでは誰でも参加できる。みなボランティアである。テスターも優秀になってきるが、プロフェッショナルと思える人は少ない。テストもかなりぬるいことをやっている。


リリース品質保証の状況

グッデイ榎さんのアナウンスを見よう(これは私も二年ほどやった)。OpenOffice.orgはリリースを細かく行うことで、アップデートパッチの提供はしていない。例えば、3.2.0がリリースされたら、セキュリティーチームから、3.2.0でセキュリティ脆弱性についての情報を公開する(もちろん私は事前に知っているが口外できない)。先にも述べたが、また、リリース品質保証(この言葉も私が定義した)わたしからグッデイ榎さんになり、(見習い修了)相当安定したが、やはりリソースは足りてないといわざるをえない。

いまのままで、官公庁で、企業で、使うのは危険だということ。

3点ある。1点目セキュリティ脆弱性を修正したバージョン(先にも述べたがほぼ毎リリース、現在のところパッチは提供されず、リリースを細かくしている。)を日本語プロジェクトが毎回、タイムリーにリリースできるとは限らないからである。2点目。セキュリティ警告などの提供は、日本語プロジェクトが公式に行うべきであるが、それがタイムリーに行えてないこと。3点目リリース品質保証にセキュリティ脆弱性に関する評価をしていないこと。

確かに榎さんにリリース品質保証担当者になっていただいた後、他のボランティアはさらに頑張っている。何と英語版と同時のリリースもコンスタントになった。私の頃はかなり遅れていたのだ。榎さんはコミュニティに誠意を尽くしているが、非常に重い重い負担を榎さんにかけている。そう、あたりまえのように榎さんにはどんどん仕事が増えている。彼は彼で業務もある。いつ倒れても、日本語プロジェクトとしては補充は効かない。プロジェクトリードである私はQAをコーディネートせねばならない。私ももうこれも二年近くやった。他にもOOoに限っても仕事が山の用にある(他のブログエントリ参照)もう動けないのだ。協力を募る。そもそも、リソースがものすごく細いのだ。

公的機関などで使うためにどういう参加が必要か。

そんなに肩肘はる必要は全くない。
  • 一点。まずリリース品質保証に参加し、状況を理解することである。これは誰でもできる。 例:榎さんのアナウンス
  • リリース品質保証のプロセスの改善への協力。参加すれば足りないことだらけだとすぐ分かる。
  • リリース品質保証のプロセスにセキュリティ脆弱性への評価をいれる(難しいだろけど)
  • セキュリティアラート翻訳への協力。なんと! 未だに日本語プロジェクトでは、榎さんを中心に、ポリシー策定を行っている最中であるし、 セキュリティー速報の日本語訳を行うのに2-4週間もかかっている! ぜひ参加していただきたい。


タイムリーに参加すれば、一体何が起こっているかわかる。さらに、なれればそんなに時間はとらないだろう。

皆さんの参加をお待ちしている。

以上

補遺
会津若松市役所情報政策課からは、目黒純さんが参加してくださいっていて密に連絡をとっている。従って、会津若松市はもし、緊急の場合でも目黒さんを通じてセキュリティ対策が可能である。しかしこれは良い状況ではない。
ジャンル:
ウェブログ
コメント (12)   この記事についてブログを書く
この記事をはてなブックマークに追加
« OpenOffice.org FreeBSD port... | トップ | C++のキャストは複雑怪奇 »
最近の画像もっと見る

12 コメント

コメント日が  古い順  |   新しい順
Unknown (Anonymous)
2010-04-24 21:06:22
始めました。slashdotからこっちに
来てみました。
もうしわけないが、何を言いたいのかいまいち理解できかねます。

印象から、英文の日本語自動翻訳みたいな
印象を受けるのですが。
(長期間海外生活されているかたは)たいてい英語主体で考える習慣になってるとおもいますが、そうであれば一度英語原文でお願いしたいです。
今のままだと、言い方がわるいのですが、偉そうで印象わるいです。
Unknown (Unknown)
2010-04-25 14:49:29
はじめまして
今まで何の気なしに使用して参りましたが文面からOOoがあなたの私物だということがよくわかりました。
貢献は不可能なのでアンインストールにて返納いたします
Unknown (Unknown)
2010-04-25 20:00:10
はじめまして。
まったく何を言いたいのかよくわからない。言いたいことをもう少し考えて尚且つ構成をもう少し考えてみてはいかがでしょう?
Unknown (Unknown)
2010-04-26 02:06:43
はじめまして…といいますか、以前一瞬だけOOoの中にいました。
これは完全に内側向けの文章です。外の人間が読んでも、ほとんど意味が取れないでしょう。有用な情報ではないものが多く含まれていますし、「皆さん」が誰かもわからないからです。
できればもう少しわかりやすく、そして「OpenOfficeが使えるようになること」以外のメリットを見せてください。楽しそうだな、とか、面白そうだな、とかいうイメージがまったく沸かないのです。
もうひたすら防衛戦闘を行っている最前線のような雰囲気が漂うところには、誰も進んで飛び込みません。
Unknown (Unknown)
2010-04-26 11:59:11
以前、少しテストのときに、おせわになったものです。

このブログ、いろんなところに迷惑をかけてしまいそうで、OOが好きで(何もできませんが)見守っている私としては、なんかちょっと困ります。

お役所の方は、個人名出たら、きっとものすごく迷惑なのかなぁと。
Unknown (Unknown)
2010-04-27 04:39:15
初めまして。
slashdotのリンクから来ましたが、この文章は本当に貴方自身の書いた文章ですか?
どう見ても日本人とは思えない文章ですね。
過去のバージョン等を使用した経験から言わせてもらえれば一般の人が利用するにはまだまだ機能面等で無理があります。
SUNのパッケージされているStarSuiteならまだましですが、フリーのOOoはGUI及びエンドユーザーサポートの面でLinuxと同等の敷居の高さがありますよ。
その辺りをどう解決するのか現在フラグシップとなっているMS-Officeをどの程度真剣に研究していますか?
ロータス・スーパーオフィスにも劣るOOoである事をどの程度理解していますか?
タダより高い物は無いという事をみんな気がつき始めています。
↑コメント入れた人たちへ (かいえん)
2010-05-12 14:59:43
ここで、OOoの事をあーだこーだと自己中な評価をしている方がいるようですが、別に中田さんがコードを作っているわけではありません。

批評したければ、それなりの場で言えばいい話で、個人攻撃かソフトへの愚痴かわからないような程度の低い書き込みは行わないでいただきたい。

> ロータス・スーパーオフィスにも劣る
あんなののどこがいいのか?理解できない。

少なくともセキュリティ評価には高度な知識とスキルが必要でその部分の人材が不足しているということは伝わりました。(残念ながらそこまでのスキルがないので、協力したくてもできませんが…)

が、ちょっと回りくどい表現になってしまっているので、変な(痛い)人たちを集めてしまってるようですね。
Unknown (中田)
2010-05-12 18:39:08
かいえんさん、
コメントありがとうございます。

ちなみに私はコードをぼちぼち書いてます。最近はめっきり品質保証、リリースエンジニアよりですけど...

さて、痛い人を集めているというご指摘、正しいと思います。ここで手を上げると責任が生じるのでまともな人は手を上げない、痛い人は個人攻撃となります。しかし、これはよくあることです。

OpenOffice.orgは開発者とユーザーの乖離が大きく、勢い痛い人を集めやすい寛次ですね。

では。
OpenOffice ダメですか (西川)
2010-08-11 13:41:00
OOoのセキュリティーに関して、危機的な状況であろう事は理解できました。

しかし、そのための「参加の呼びかけ」の文言としては、お世辞にも良いとは言えません。
先ず最初の「OOo」の全否定から文章がスタートしています。

ここにコメントを寄せておられる方々は、ほぼ間違いなく「OOo」を使用しているユーザー
の方々の書き込みであろう事は察しが付きます。また、「OOo」の使用を視野に入れよう。
と思っている方も居られるかも知れません。

有料にせよ無料にせよ、また、企業、ボランティアに関係なく、「OOo」が「製品」である事
に変わりはありません。

それらを使用する方々から寄せられた文書は真摯に受け止めるべきで、ユーザーに対して
反撃するべきではありません。

また、書き込みの多くは、文章が分かりにくい。 もう少し魅力を語ってほしい。という趣旨
のもので、誹謗や中傷、個人攻撃が目的の書き込みとは、到底思えない内容です。


かいえん さん。 あなたに対しては少々、苦言を呈しておきます。

>批評したければ、それなりの場で言えばいい話で
それなりの場とはどこですか? ユーザーがそれ以外の場で批評してはいけないのですか?

>個人攻撃かソフトへの愚痴かわからないような程度の低い書き込みは
>行わないでいただきたい。

そう言いながら、あなたは・・

>> ロータス・スーパーオフィスにも劣る
>あんなののどこがいいのか?理解できない。
と、個人的な好み、嗜好による(考え)感想を否定し、まさに「程度の低い」反撃をされています。

>ちょっと回りくどい表現になってしまっているので、変な(痛い)人たちを
>集めてしまってるようですね。
その内の一人に、あなたも入っているのではないでしょうか?

また、使用ユーザーを「変な人」とか「痛い」と表現するのは如何なものでしょうか?


中田さんにも一言申し上げておきます。

このブログは、一般公開されているものですね?そうすると、開発者よりも一般ユーザー
の閲覧数が多くなるのは予想できる事です。であれば、一般ユーザーからの意見が
多くなる事も予想できる範囲です。 

また、「OpenOffice.orgは開発者とユーザーの乖離が大きく~」とありますが、
そもそも、OpenOffice.orgは誰のために、また、何のために開発を行っているのでっしょうか?
一般ユーザーのために開発を行っているのであれば、利用数が増えれば増えるほど、
MSOffice同様、開発者とユーザーが大きく乖離するのは、ある意味当然であり、当たり前
ですよね?

OpenOffice.orgのユーザーと開発者を同一のものにしたいのであれば、OpenOffice.orgを
クローズドのものにし、一般向けに配布せず、開発者だけで使用すれば良かろうと思います。

OpenOffice.orgが、一般ユーザー向けに開発されているのであれば、このご発言は本末と言
わざるを得ません。

ただ、「使ってくれるのは有難いが、もうちょっと開発にも協力してよ」と、おっしゃりたいので
あろう事は理解いたします。


さて、
官庁、お役所であれば、導入数が500であれ1000であれ、予算が降りればMSの採用
に些かの抵抗も無いでしょう。しかし、一般企業ではそうは行きません。

仮に1000台を導入した場合、OSとOffice+その他アプリを購入した場合、数千万の出費
となります。更に、数年に一度は必ず巡ってくるのです。

現在、中小(例え大企業であっても)企業で、最も固定費のかかる部類であり、また、昨年
からは、課税対象にもなっており、企業にとって看過できない問題です。

これらの経費を最低限に抑え、新規雇用の人件費や、給与のベースアップに回すことがで
きれば、こんなに良い事はありません。

しかし、そのために「開発側」が「しのぎを削る」状況も好ましくは無いと考えます。

そこで思うのですが・・

NOP法人等にできないのでしょうか? セキュリティー開発費として1パッケージ数百円/1口
私としては、利害が一致すればオフィスソフトを全て乗り換えたいと思っているのですが・・

現在、会津若松市、三島市、箕面市 等と情報の交換を行っている最中ですが、企業からの
寄付金等を拠出するのは、やぶさかでは無いと思っております。

いずれにしましても、是非とも頑張って頂きたいと思う次第でございます。
Unknown (Nakata Maho)
2010-08-11 14:00:04
西川さん

> NOP法人等にできないのでしょうか?

西川さんがそのための手続き等、雑務をやっていただけるならばいいですよ。

企業からの寄付金集めてきてくださるとありがたいです。有益に使わせていただきます。
Unknown (Unknown)
2011-01-12 20:24:18
OOoユーザーですが、読んでへこみました。それだけです。
Unknown (Nakata Maho)
2011-01-12 20:30:36
へこみますよね。でもこれが現実です。変えたいですか? それとも、都合の悪いことは知らないままのほうがいいですか?

コメントを投稿


コメント利用規約に同意の上コメント投稿を行ってください。

数字4桁を入力し、投稿ボタンを押してください。

あわせて読む

関連するみんなの記事

トラックバック

この記事のトラックバック  Ping-URL