どう考えても、Apple はソフトウェア品質の観点から iOS 11 と macOS High Sierra で厳しい年を過ごしました。しかし、Apple のリーダーシップが留まることでのみ完全に取り組むことができる、学ぶべき教訓と実行すべき是正措置があります。
編集者注: WWDC が近づいてきた今、Apple が新機能の追加を遅らせ、代わりにオペレーティング システムの改良に注力するのではないかという噂が再び浮上しています。 2017 年末と 2018 年初めに学んだ教訓は繰り返す価値があります。
1 か月の間に、Apple は 1 つのソフトウェアのバグだけでなく、いくつかのソフトウェアのバグによって動揺しました。そのうちの 1 つは、Apple のこれまでで最も深刻なセキュリティ関連の欠陥の 1 つであり、ユーザーが次のことを行うことができるというものでした。rootアカウントを生成する可能な限り最高レベルの権限を付与し、Apple の保護とセキュリティ対策のほとんどをバイパスします。
ルートバグの影響により、一連の重要なアップデートが App Store を通じて自動的に配信されることになりました。自分自身の弱点を抱えて。 12 月 2 日に別の問題が発生しました。iOS通知センター、そう見えることで最高潮に達します先制リリース土曜日の早朝に iOS 11.2 がリリースされました。
もし Apple が実際にその時点でリリースを計画していたとしたら (その可能性は低いと思われますが)、土曜日の朝のリリースは Apple のソフトウェア リリースの歴史の中で確かに前例のないものでした。
社説やソーシャルメディアでは、アップルCEOティム・クックや上級副社長クレイグ・フェデリギの仮想の首を大皿に盛り付けて提供することを求める声が高まっている。そうなった場合、状況はさらに悪化するだけです。
歴史的並行
最新のハードウェアはかつてないほど複雑になっています。非常に多くのシステムが相互に関連し、密接に結びついているため、ユーザーが十分な教育を受けていないか、システムが誤動作しているか、ソフトウェア ルーチンが適切に動作していないと、多大な影響が及ぶ可能性があります。
原子力推進USS脱穀機初めて海に出たときのクラスの名前です。これは建造当時、世界で最も速く、最も静かな潜水艦であり、当時の最先端の兵器システムでした。
バグを取り除くための最初の海上試運転の後、造船所で 9 か月間稼働可能になった後、脱穀機海に出す。深度をテストするための旅行の後、船はすべての人手で紛失しました。
災害からの復旧・復興後、海軍は海水配管システムの接合部の破損が連鎖故障を引き起こし、船舶の損失につながったと判断した。単純に、配管の接合部がその役割を果たすには不十分であり、品質保証テストではさまざまな理由で問題が発見されなかったのです。
当時のアメリカ海軍原子力発電計画の責任者は、依然として創設者であるハイマン・リックオーバー提督でした。
ハイマン・G・リックオーバー中将とジョン・F・ケネディ大統領
「脱穀機の損失は、単に特定のろう付け、溶接、システム、またはコンポーネントの欠陥の結果として見られるべきではなく、むしろ、米国で許可されている設計、構造、検査の哲学の結果として考慮されるべきであると私は信じています。私たちの海軍造船プログラムです」とリックオーバー氏は語った。 「進歩を望むあまりに、優れたエンジニアリングの基本を放棄している可能性がある現在の慣行を再評価することが重要だと思います。」
このテストと失敗の物語は、Apple ファンにとってはおなじみのものかもしれません。
iPhoneと潜水艦?
iPhone は兵器プラットフォームではありませんし、ソフトウェアのバグが人命損失の原因となったわけでもありません。しかし、現代の生活がこのデバイスに依存していることを考えると、それは私たちに対する武器プラットフォームとして使用される可能性があります。
安全でない Mac や iPhone は、認証方法を放棄したり、クラウド アクセスのパスワードをリセットしたりするために使用される可能性があります。理論上、パスワードなしの Root アクセスのようなバグは、正しく攻撃された場合、Apple のさまざまなロックおよびリセット方法を使用して、iCloud またはさまざまな Google データ ストア全体に保存されているユーザーのデータ全体を消去する可能性があります。
これには、銀行情報が誤って流出したり、攻撃されたユーザーから他の金融情報が盗まれたりする可能性のある損害さえ含まれていません。
災害の余波
リッコバー提督はスレッシャー号の事故で職を失ったわけではなく、当時整備を行っていた造船所で大量発砲があったわけでもないようだ。このときリッコーバー提督を解任すれば海軍の核戦力は後退し、おそらく二度と回復することはないだろう。その代わりに、海難事故の直接の結果として、アメリカ海軍は SUBSAFE 品質保証プログラムを導入しました。このプログラムは、潜水艦のサプライチェーンを上から下まで刷新し、部品の組み立てや製造から設置に至るまで部品の責任を負うものでした。
「悪魔は細部に宿るが、救いもまた細部に宿る。」 - ハイマン・G・リックオーバー中将。
それ以来、米国は重大な故障によって船舶を失ったことはありません。同じ時期に、他のいくつかの国もロシア軍に6名を失っているが、その部品や人員の審査は米海軍ほど厳しくはない。
原点に戻る — Apple には、オペレーティング システムとユーザーを保護するための独自の SUBSAFE システムが必要であり、それを開始する必要があります。今。
すぐにできる価値のあるものはない
大きな問題に対する場当たり的な対応は、長期的な解決策にはなりません。 SUBSAFE の基本的な前提はすぐに実行されましたが、実際には数年間は動きませんでした。サプライチェーンから不良部品を排除し、パイプライン全体にその他の変更を加えるには長い時間がかかりました。
ティム・クックはサプライチェーンの達人なので、それは問題ではありません。クック氏はスティーブ・ジョブズ氏によって厳選され、アップルの創業者が長年かけてその地位に就くために練り上げた人物だ。
実際、この危機を理由にクック氏に辞任を求める声が上がっている。その日のそれはばかげており、新たに選ばれた人はサプライチェーンでそれほど良い仕事をしないでしょう。さらに、秩序ある人事異動が行われないことを考えると、Apple の責任者が他の問題に慣れるまでに時間がかかるため、問題はさらに複雑になります。
同様に、フェデリギを捨てることは、スケープゴートが必要になる可能性を除いて何も解決しません。上部に突然空白が生じると、ソフトウェアの品質保証に関して社内を整理する必要がある企業に混乱が生じ、集中力が欠如してしまいます。
人間的な要素
手順とオペレーターに関しては、そのプロセスは潜水艦隊内で常に進行中です。運が良ければ、Apple も時間をかけて同じことを行い、社内の開発者と社内で、また社外でユーザーと状況を再評価することができるでしょう。
私は、海軍がエンジニアに要求しているように、9 か月の集中的な教室でのトレーニング段階に続いて、ユーザーが自由になる前に厳重に監視されたデバイス操作を行うことを求めているわけではありません。しかし、Apple のセキュリティに関する約束は、教育を受けていないユーザーを取り込むことしかできません。
デバイスがアプライアンスとみなされるユーザーは常に存在します。また常に存在しますAppleInsider何かがそのように機能する理由と、デバイスを可能な限り最大限に使用する方法を知りたい読者。
理想的には、二人は一緒になるでしょう。後者は前者に対し、最終的なユーザーの安全性を実現するための重要な要素であるソフトウェア セキュリティと組み合わせた物理的セキュリティなど、セキュリティのベスト プラクティスについて話し合います。
進むべき道
Appleは変更を約束した。同社はルートバグが公開された後、すぐにそれに関する声明を発表した。
Appleは「このエラーを非常に遺憾に思い、この脆弱性を抱えてリリースしたことと、それが引き起こした懸念についてすべてのMacユーザーに謝罪する」と述べた。 「私たちの顧客にはもっと良い評価が与えられるべきです。私たちはこのようなことが二度と起こらないように開発プロセスを監査しています。」
これは、Apple のバージョン番号が乱高下して問題が発生したことや、それに関連するインターネットに由来するその他のばかげたことに関するものではありません。 Sierra の最初のリリース 10.12.0 リリースは、簡単に El Capitan 10.11.7 と呼ばれる可能性があり、High Sierra の最初のバージョンは 10.12.6 と呼ばれる可能性がありました。しかし、マーケティング上の理由から、Apple はバージョン番号を増やし、派手な名前を付けました。 iOSについても同様です。 X=X+1 のバージョン番号の増分は、何よりもマーケティング ツールです。
監査だけでは、テスト プログラムの障害を解決するには十分ではないようです。しかし、それは回復への第一歩です。
オペレーティングシステムの「寿命」を延ばしても何もならないし、「スティーブが生きていたらこんなことは起こらなかったはず」という誤った見方のせいで会社の首を切り落とすこともできない。
Isamu 
Isamu 
Isamu