ソフトウェアのバージョンアップ確認、どうしてる ? 66
ストーリー by reo
アンテナとか RSS で ? 部門より
アンテナとか RSS で ? 部門より
iwakuralain 曰く、
仕事柄 IPA のサイトを覗く事が多いのですが、昨日付けでメールソフトの Becky についての脆弱性が報告されておりました (/.J 記事)。既に Becky 側では最新バージョンにて対応しているとの事で早速バージョンアップしてみたわけですが、しばらくバージョンアップしてなかったせいか色々と機能が追加されてて便利になってました (心なしか検索スピードとかも上がっている模様) 。
そこで /.J 諸氏に質問です。Windows 等の OS については自動的にアップデートする仕組みが整っているわけですが、パッケージソフト、シェアウェアやフリーウェアではそこまでアップデート機構が整備されているものが多くはないと思います。自動でアップデートの仕組みがないソフトについて皆様はどのようにアップデートの状況を確認しているのか ? またはそもそもアップデートを行っているのか ? 「こういう風にすれば手間を減らせるよ」といったものがあれば情報をお寄せいただければと思います。
# ちなみに私はPCを初期化する際にいつも使用しているソフトの最新を入れるような形にしているので
# 場合によってはかなり放置している事があります……
Secunia PSI (スコア:5, 参考になる)
つか、こいつの話題が出ないのがちょっとびっくりした。 http://secunia.com/vulnerability_scanning/personal/ [secunia.com] ってことで初投稿。
参考になる(+1) (スコア:3, 興味深い)
誰かモデして。便利で仕方ない。
セキュリティに問題のあるプログラムそれぞれに付いて
・プログラムパスが表示される。
・最新版へのダウンロードリンクが表示される。
・セキュリティ問題解説ページへのリンクが表示される。
などの機能があります。
Office2000 系列のセキュリティアップデートは Microsoft Update の範疇外なので別途 Office のサイトから取ってこないと駄目なんですが、こいつはそれも指摘してくれます。ただ、英語版にしか対応してないので自前で取ってこないといけませんけど知らせてくれるだけでもありがたいです。
i use this (スコア:3, 参考になる)
最近知ったのですが、i use this [iusethis.com] が結構便利ですね。
バージョン管理のアプリケーションをインストールする必要はありますが、
こおサイトに登録されているサイトなら、新しいバージョンが出ているか確認できます。
#上記URLはOS X ですが、Windows用もあることを今知った
常駐して、定期的にチェックしてくれる機能があるかまだわかりませんが、
基本的には能動的にチェックをする必要があるようなので、リアルタイムに近い更新は行えませんね。
それでも個別に確認するよりは楽です。
あとは対応ソフトが増えれば、、、
Re: (スコア:0)
Re:i use this (スコア:1)
で、たまにRSS設定し忘れて、
そういう物に限って重要なアップデートに1年以上気付かなかったりします....
更新情報サイトを巡回 (スコア:2, 参考になる)
Windows用ソフト限定ですが、
バージョンアップと新作ソフトの導入が趣味なので、
(システム管理者に全くむいていないタイプ)
を、毎晩23時頃に巡回しております。
Macの場合 (スコア:2, 参考になる)
Macの場合、ソフト側にアップデート確認の仕組みを持っているソフトがかなりあります。
自力でチェックしているソフトが大半ですが、Sparkle [andymatuschak.org]という
Frameworkを使っているものも多いようです。
また、AppFresh [metaquark.de]というツールで、インストールされている
ソフトのバージョンを一括チェックすることもできます。これはi use this [iusethis.com]の
データを使っているようです。
あと個人的には、ソフト紹介ブログのチェックで足りている感じです。
dps [dpsmac.com]、MacEGOism.jp [egoism.jp]あたりが便利です。
versiontracker [versiontracker.com]は量が多すぎて追い切れませんでした。
気にしない (スコア:1)
結局、どこまで取り組むか、だと思いますよ。
突き詰めていった場合、毎年のようにメジャーバージョンを更新する商用ソフトをリリースされる度にアップグレードしなきゃなりません。
私は特に気にしていませんよ。
ポリシーとして心がけてるのは、
・OS再インストール時に最新環境を構築し、
・Microsoft Updateは毎月忘れずにチェックして、
・比較的攻撃に晒され易いと思われる、ネット関係のソフトだけ最新版を保ち、
・他は不具合が出たらその都度対処
という、四点だけです。
ですから、残りのソフトはOSをインストールしたときのままです。
ネット関係のソフト(特にブラウザとメーラー)は自動でアップデートチェックされるものを使っていますし、実際は通知に従ってアップデートしているだけ(≒特に気にしない)、みたいな感じでしょうか。
商用アプリはOS再インストール時に一緒にアップグレード版を用意します。
それまではたとえ2年前3年前だろうが構わず使い倒してますねぇ・・・コストがどうこうというよりも、単に入れなおすのが面倒臭いというか何と言うか。
というか、3年に一度ぐらいのペースでハードウェアをリプレースしているので、最近じゃOS再インストール=ハードウェアリプレースみたいな感じになりつつあるかな・・・。
ちなみに、Windows Mobile搭載のスマートフォンはもっと杜撰で、購入時に色々弄ってそれっきりです。
バージョンも5.xなのでWindows Updateは使えないし。
何か不具合があればその都度対処すれば良いかなーと。
Re:気にしない (スコア:1, 興味深い)
ブラウザ(Firefox)は自動でアップデートしてくれるのですが、プラグインを個別に更新しなければ行けないのがとても面倒です(Adobe Reader, QuickTime, Real Player, JRE, WMP Plugin, Flash Player, Shockwave Player, WGA Plugin...)。当然これらは攻撃の対象になりやすいので更新をサボるわけにもいきません。
拡張機能やテーマみたいにAMOからインストールできて自動で更新チェックもしてくれればいいのに。
スクリプトで更新を自動チェック (スコア:1)
・・・そんなソフトを作ろうとして挫折しました。
だれか作ってくれませんか?
Re:スクリプトで更新を自動チェック (スコア:2, 参考になる)
更新を確認するなら、Secunia PSI で確認できるよ。
紹介ページ [impress.co.jp]
Re:スクリプトで更新を自動チェック (スコア:1, 興味深い)
DiffBrowser [so-net.ne.jp]というWebサイトの差分チェッカーを使ってます。
各ソフトの公式ページを登録しておけば、ボタン一つで自動巡回→更新部分(バージョンアップ情報)を一括抽出できます。
これ一つで新刊とか新作とか修正パッチなんかも(ry
#親コメの要望とはちょっと違うかも
Re: (スコア:0)
Re: (スコア:0)
1) 製作者はサイトに更新情報を登録。更新はソフトの配布サイトに記号を埋め込むことによって行う。
2) サイトはユーザにソフト一覧と、各ソフト毎に興味あるかどうかのチェックボックスをつけたGUIを提供、
興味のあるソフトの更新情報提供RSSのURLを表示する。
3) サイトは更新情報をRSSで動的に配信。
4) 何やらスパムっぽいのが増えてきたらユーザーの人気がないものを自動的に排除。
こんなところかな。RSSは一まとめにしたい、製作者が個別にRSS作ると登録が増えちゃうので。
もっとシンプルにできるかもしれない。
Re: (スコア:0)
wwwc でいいよ、別に正確にアップデートだけチェックしなくても
DLページが更新された事が分かれば十分
Re: (スコア:0)
つ portaudit
# FreeBSD用ですが
cron-apt (スコア:1)
cron-apt で終わる話じゃね?
というのは冗談ですが、やはりソフトウェア自身についているアップデート自動確認の機能に頼ることが多いです。Microsoft製品, Avast, Firefox, Google Chrome ・・・
自分が趣味で書くプログラムは最近ではほぼ C++ + boost.python + Python なので、出来上がったものは easy_install に任せてます。easy_install -Z -U -f ore.no.py.example.com oresoft って感じで。しかしやはりアップデートのトリガは手動なんですよね…常にアルファ版クォリティなので勝手にアップデートされても困るけど。
そういえばソフトウェアについてるアップデート機能が働きまくるとaptやyumなどのパッケージ管理機能が把握しているバージョンとどんどん乖離していくような気がする。
屍体メモ [windy.cx]
aptやyumのようなものが無い悲しさ (スコア:3, 興味深い)
ある程度に、新しいものを使っていることを前提に
対策等を考えるのが普通だと思っています。
OKWave等を見ていると、フリーソフトの不具合について
バージョンを明記して質問するような人はほぼ無く…
盲点として、問題解決を難しくしている場合もあると思っています。
自動ダウンロード&インストールツールが無いということは
以前にダウンロードしたものを、CD-Rに保存しているような例もあり
構造的に、古いバージョンを使い続けやすいのでは無いでしょうか?
自由にバージョンアップできないOS(カーネル)に対しての
互換性も含めた依存関係に対応した管理ツールが
Windows用フリーソフトにも欲しいと思っています。
うちは全部Linuxなので、全部aptって感じです。
Re: (スコア:0)
冗談とも言い切れないような。
Windowsの方がデスクトップ用OSとして(慣れてるし)使いやすいのだけど、
個々のソフトのアップデートが面倒になってきたので、
Debianのstableをメインで使うようになりました。
移行の際にDebian以外の他のLinuxディストリビューションも試したのですが、
パッケージ数が少ないためにどこかから拾ってきたようなパッケージが増えて、
結局はWindows以上に管理が面倒になってしまいました。
まあ、Debian stableはソ
Debian 5.0 "Lenny" is coming! (スコア:2)
Re: (スコア:0)
まれにトラブったりするけどある程度対処できる自信があれば、Debian testingあたりもいいかも。
メーリングリスト (スコア:1)
アナウンスメーリングリストを subscribe します。
例:Apache HTTPD [apache.org], Python [python.org]
てのが、古典的回答だと思うが、そういう人は少なそうだな。
#そういえば、Python 3.0.1 がさっきアナウンスされてた。
Re: (スコア:0)
パッケージソフトやシェアウェアでは最新版のアナウンスサービスをしてくれることが多いですよね。
ユーザ登録をするとアップデートを教えてくれるので活用してます。
件のBecky!も通知してくれてました(今は使わなくなったので知りませんが…)
フリーウェアなどではそういうサービスは少ないと思いますが、
Webページ上で告知&最近ではRSSで配信することが多いのでRSSリーダーに登録しています。
あとは、ソフトウェアの起動時にアップデートの確認をする機能を持つソフトも増えましたね。
ということで、自分的には割と最新版の情報入手には困っていないと感じています。
人柱を待ってから (スコア:1)
私は2chの関連スレをチェックしつつ
人柱の報告が上がってからインストールしています。
将来はわかりませんが
今のところ地雷を踏んだことはないです。
Vector (スコア:1)
自力でやらんでも (スコア:1, すばらしい洞察)
>自動でアップデートの仕組みがないソフトについて皆様はどのようにアップデートの状況を確認しているのか ?
それを各アプリでやってたらしんどいので
OS(例えば)でまとめて面倒みちゃえ!ってことにしたのが、
たとえばapt-getなわけだよね。
つまり寄らば大樹というか。
「セントラルな」リポジトリに各アプリが入っちゃえばいいんだ。
またそのひとつ先に進んだ考え方として、
鯖そのものはセントラルじゃないけど、
鯖を構える方法が規格化されてるんで、それに則ればOKという環境も有るよね。
たとえばEclipseのプラグインの管理とかは、所定のファイルの置き方をして「ほれこのURLを入力してよ」と言えばOKなわけで。
個人的に気がかりなのは、最大マスであるWindowsにおいて、そういう文化がイマイチ流行ってないって点かな。WindowsUpdateのセントラル鯖や鯖の構え方が世間一般に開放されてるわけじゃないよなあ。
逆にいえば非WinなOSはソコを一般人にアピールすると強みになると思うんだが。たとえばUbuntu(apt系でありかつビジュアル系なOS)が「アプリまで常に最新版!」をワンタッチで実現できてるわけで、これぞ初心者にこそ垂涎な環境だと思うぞ。
Re:自力でやらんでも (スコア:1)
でも周囲に話しても、なかなか広がらないんだよなあ。
「おまえみたいなアレゲな奴になりたくないよ」とでも思われているのかな。
apt-getは便利なんだけどなあ
#一般人はアレゲなんて言葉を使わないか?
バージョンアップしない (スコア:0, オフトピック)
入れ直す時も元の古いバージョンを入れます。
# 「壊れていないモノを修理しようとするな」に従っているだけですけど。
notice : I ignore an anonymous contribution.
Re:バージョンアップしない (スコア:1)
私は「新しいのって最高」派なのですが。
nVIDIAとWACOMのドライバだけは怖くてさわれない orz
1年半前に入れて動いているものをそのままにしています...。
今書いている原稿が一通りあがったら、入れ替えようかなぁ。
ん? (スコア:0)
Re: (スコア:0)
>>ソフトウエアのバージョンアップ確認、どうしてる?
>バージョンアップはしません。(セキュリティなどで問題が見つからない限りは)
そのセキュリティ問題も含むバージョンアップをどう確認するかの話をしてるんじゃないの?
なんか微妙にずれてません?
#俺は素人とは違うぜ、みたいな?
Re: (スコア:0)
> そのセキュリティ問題も含むバージョンアップをどう確認するかの話をしてるんじゃないの?
> なんか微妙にずれてません?
重大なセキュリティの問題はそれこそ IPA とかを見てるだけで情報が
集まるからそれですませている、とかでないの?
今回話題にしているのは IPA みたいなサイトが取り扱わない
バージョンアップをどう知るか、という話題じゃなくて?
Re: (スコア:0)
タレコミ文を確認すると「またはそもそもアップデートを行っているのか ?」とあるので、
「バージョンアップしない」という元コメはタレコミ文に沿った内容ですね。
# タレコミ文を一字一句確認しろとつっこみを入れなければいけない時代がどうのこうの
Re: (スコア:0)
最新版がいいとは限らないですしね (スコア:0)
バグが入ってたり、変な広告が入ったり、動作がかわったり…
満足しているバージョンがありセキュリティ上の問題がないならそのまま使っています。
でも、OS、ブラウザ系はセキュリティ上の問題から、しっかりとアップデートしています。
Microsoft Updateで (スコア:0)
Re:Microsoft Updateで (スコア:2, 興味深い)
>> 全部Microsoft Updateでアップデートしてくれればいいのに
いや,当初Microsoftはそのつもりで作ったシステムだったんですけどね.
問題は,Micorosoftが「うちに送ってくれれば何でも配布しますよ」みたいなことをしちゃうとウィルスでもワームでも配布し放題なわけで,Microsoft Update自体の信頼性を守るためには「アップデートするソフトをMicrosoftに申請して,Microsoftのチェックをパスしないといけない」という制度にならざるを得ないこと.
で,Microsoft Update登録のために金を払う必要があったはずなので,その時点で中小のベンダから見ればハードルが高すぎる.また,その程度の金銭コストが痛くないような大手企業からみても「セキュリティ関連のbug fixバージョンを出しても,Microsoftのテスト待ちで,いつ配布されるかわからない」という不便なシステムなので,やっぱり自前配布の方が明らかに便利.
ってことで,普及しなかったんですよ.
Re:Microsoft Updateで (スコア:1)
Microsoft Updateじゃなくて良いから
MSIインストーラーに統合自動アップデート機構を付けて欲しいですね。
Re:Microsoft Updateで (スコア:2, 参考になる)
>インストーラーに統合自動アップデート機構を付けて
MS畑でいえば、それって「Click Once」が近いものだったりしませんかね?
あれの枠組みで作ったインストーラ(っていうのかな)には、設定として
「起動のたびごとに鯖に最新版を問い合わせる」ってモードを指定できたはず。
鯖にアプリを載せるときにバージョンが判るような所定のフォルダ構成(詳細忘れた)で置いておけば、
あとはインストーラが勝手に随時見に行ってくれる、みたいな。
あとJavaでいえばJavaWebStartもそうかな。
ああいう「Webアプリとデスクトップアプリの中間」みたいなのを狙ったアプリ配布システムは、
結構うまく使えるんじゃないかという気がしています。気がしただけだけど。
注:
ClickOnceモノを(VS2005時代ですが)作ったときに困ったのが、アプリの設定ファイルです。
設定ファイル「だけ」弄ろうとしてもパッケージの中だからユーザサイドで弄れない。
鯖で配布するときも設定ファイル変更しちゃえばアーカイブごと新バージョン扱いになっちゃう(チェックサムとか監視されてるから)。
結局設定のバリエーションを持たせようと思ったら全てを鯖で用意しないとならんってことになり、ちょっと困った。
環境ごとに設定が要るような奴は、設定ファイルもまたアプリで操作できるようなUIをつけてあげないとならんっぽい。面倒…。
ユーザフォルダに書き込んでしまえばいいんだが、それもそれで書き込み権限を与えるかどうかが微妙な問題になるし。
(ていうか「データファイル」と「設定ファイル」の書き込み権限は別々に設定させて欲しいと心底思ったよ。
OSから見れば違いは無いんだろうけど、
アプリから見れば「アプリ自体のファイル」「入力ファイル」「出力ファイル」「設定ファイル」の4種類を
別々に権限なりなんなりを設定させて欲しいものだと思う。
設定のバリエーションは変更できるけどファイル出力は認めない、とかって制御が欲しい。)
Re:Microsoft Updateで (スコア:1)
配布物は配布元で配布するのは変えず、更新情報だけ集約する仕組にしてくれたらいいのにね。
更新情報urlを配布者がMicrosoft Updateに一回登録するとかしてさ。
もしかして今もそうなってるけど、それでも費用負担が大きいという話だったらごめん。
Re:Microsoft Updateで (スコア:1)
Microsoft Updateはそういった問題があるとして、じゃあなんでMS以外がそういう仕組みを作らないか考えると、Windows用ソフトウェアの場合、
・インストーラにインストールさせるか、好きな場所に解凍させるってパターンが多く、Unix系のように自動化がしにくい
・独自ライセンスが多く、特に再配布などに厳しい制限を設けているものが多い。自分のサイトからダウンロードしてね、と思っている人も多い
・リポジトリとしてまとめて下さるボランティアの方たちが少ないか、あまり知られていない
って背景もあるんじゃないかなぁ、と。
1を聞いて0を知れ!
ものによるんです (スコア:0)
ネットワークを見に行くアプリケーションの場合は極力見ますがそれも昔の話になっちゃいました、いまはどれも起動時にチェックしてくれる親切設計(それ故ソフトの配布元がやられると危ないのかもしれないけど)
そうでないアプリケーションは「次の再インストール」の機会まで捨て置かれます(商品だとメールで教えてくれるのもありますがそれは一応導入します)
それ以外は各ソフトのupdateに任せます
だいたい脆弱性が問題になるのは外界をさわるアプリだけだと思って居るのですがほかにあるんでしょうか?
#でもAcrobatリーダだけはうざいので捨て置いている気が
Re: (スコア:0)
> だいたい脆弱性が問題になるのは外界をさわるアプリだけだと思って居るのですがほかにあるんでしょうか?
つUSBメモリ
Re: (スコア:0)
感染の連鎖を考慮したうえで「外界をさわるアプリだけ」と言っているなら良いですが
Becky! (スコア:0)
重箱の隅で申し訳ないけど、BeckyじゅなくてBecky!ですよね。
必要なのは一部だけ (スコア:0)
Becky!やLhaplusみたいなのはニュースになるし。
通常のアプリは致命的なバグでもなければ、わざわざアップデートが出ているかどうか探す事はしない。
アップデートが常に改良であるとも限らないし、変更された仕様に慣れるのに時間食うのも嫌だし。
#WZ6もダメなりに慣れた方が得だと理解して、アップデート追いかけなくなった。
ソフト自体のupdate機能 (スコア:0)
Linuxならaptですね。
Re: (スコア:0)
どうにかして、統一してくれない物かなぁ。
BITSとか、ダウンロードのインフラはあるのに、最新版チェックのインフラは、Task Schedulerぐらいしかないのが問題か。
Re:Cygwin (スコア:1, 参考になる)
細かい話なのかも知れませんが、私がcygwinを使わなくなった理由は、あのGUIベースオンリーなsetup.exeが使いにくくてたまらなかったから、というのが大きいです。
管理したいソフトの数が少ないならGUIでいいんだけど、多くなると「ソフトの名前を探す」のに例えばGREPが使えるかどうかとかが結構致命的な差になってきます。GUIに検索機能をフル装備すれば済むのですが、そんな無駄な仕事をcygnus(今は赤帽?)にさせるベキだとも思わないし。特に最近視力が下がってきたのであの普通より更に一回り字が小さいcygwin setupの画面と睨めっこして欲しいソフトを探す作業は拷問です。またcygでは各アプリはツリー状にカテゴライズされていますが、今自分が欲しいアプリがドコのカテゴリに属してるかを知らない場合は一件づつツリー展開して見て回るというエライことになります。
最近触ってないのですが、最近はコマンドラインベースの更新管理ツールも有るんでしょうか?だったら復帰してもいいなあ。いっけんaptみたいな操作体系となるラッパーがかましてあるのが個人的には理想です。
# Wubi(マルチブートお手軽InstallつきUbuntu)入れてみて、初回にapt更新が220件とかGUIベースで表示されたとき、悪夢の再来か?と怯えたのでAC。もちろん気に入らなければコマンドラインに降りれば済むことだけど。
ちなみに今どうしているかというと、
●お手軽な用途ではMINGWのMSYS。基礎的なツール(bash、grep、findなどなど)が入っていることダケをあてにして使っているので、ソフトが新しいかどうかはあまり重要ではない。(日本語ファイル名の扱いが時々変なのが玉に瑕)
●多少本格的な用途ではcoLinux。Win上で本格的に使える選択肢のうち多分一番軽いのがコレなので。最近はそのなかでもUbuntu入りでInstallお手軽なandLinuxがお気に入り。もちろんこれでは「Windowsの」ソフトには一切触れませんが。
Re:Cygwin (スコア:1)
インストール済みの一覧、インストール済みの新バージョンがあるやつの一覧、未インストール(skip)の一覧、とかアルファベット順に並ぶので、ツリーをたどってごそごそ探す必要もない。
私もACさんと同じ気持ちで難儀していたので、最近すっかりツリー形式では使わなくなっちゃったクチです。