2007/08/09
Mozilla のセキュリティパッチは可能な限りくそっ早くリリースする
原文:Mozilla security patches coming as soon as f***ing possible by Percy Cabello -- August 7, 2007
それは先週の Black Hat セキュリティ会議で、Mozilla エコシステム開発ディレクタ Mike Shaver が Robert Hansen (a.k.a. RSnake) に“くそったれの10日 (Ten F***ing Days)”と書き加えた名刺を渡したときから始まりました。
10日というのは Firefox 2.0.0.6 で Mozilla がセキュリティ脆弱性に対するパッチを作成しリリースするのに要した時間を示しています。それは疑いもなく、重要なセキュリティ上の成果です。
しかしながら、話題が複数のメディアと dig のトップページに流出後、それが何を意味するかについて異なる解釈があります。
これは Hansen の解釈です: 「彼らはどんなクリティカルなパッチでも10日以内にリリースできると言った。Not one to let challenges go untested I called BS. その瞬間、Mike Shaver は挑戦状をたたきつけた。彼は私に手書きのメモを記した名刺を渡した。挑戦内容はこうだ - 責任のある情報開示の下で、Mozilla はどんなセキュリティホールでも“Ten [F***ing] Days”以内にパッチを作成し公開できる」 すばらしい!
そしてこれは Mike の解釈です: 「私は、とくに早急に対応すべきと判断される大きなリスクをもった情報に対して、そのような"1回限りの"チケットを彼に渡すことによって、必要とあらばすばやく修正するわれわれの能力に対する自信について述べようとしたのだ。 それは、後になって冷静に考えるとあまりに過激であったが、Mozilla の方針がすべての公開された脆弱性に対して10日以内に対応することであることを示すものではない。」
私は先週 Hansen の投稿を読んだときは特に気に留めてはいませんでした。どんなソフトウェアでもセキュリティパッチの対応時間を保証することは誰にもできないことは明らかです。これが Black Hat での説明や会議の中で行われたのではなく、Mozilla のパジャマパーティ(pajama party)で起こったということは、いうまでもなく非公式なこととして扱うべきです。
しかし、人々がこれは Mozilla の挑戦、Mozilla の方針あるいはただの冗談などと憶測しているので、Mozilla Chief Security Office である Window Snyder はこれに関して公式声明 を発表しました: 「これは我々の方針ではない。セキュリティはゲームではないし、挑戦状や最後通告を発行するようなものもない。しかし我々は重大なセキュリティパッチをすばやくリリースしてきた実績を誇りに思っている。我々は人々を安全に保つために、可能な限り早くリリースするよう懸命に働いている。」
それだけのことです。パーティは終わりました。とくに注目すべきことはありません。しかし、Mozilla のセキュリティを語るときのいろんな側面を学びました。結局は、セキュリティパッチは“毎月のくそったれの火曜日(訳注:Microsoft の月例パッチのこと)”ではなく “可能な限りくそっ早く”のほうがが好きです。
訳注:拡張あれこれ-MEMOにも関連記事があります。
それは先週の Black Hat セキュリティ会議で、Mozilla エコシステム開発ディレクタ Mike Shaver が Robert Hansen (a.k.a. RSnake) に“くそったれの10日 (Ten F***ing Days)”と書き加えた名刺を渡したときから始まりました。
10日というのは Firefox 2.0.0.6 で Mozilla がセキュリティ脆弱性に対するパッチを作成しリリースするのに要した時間を示しています。それは疑いもなく、重要なセキュリティ上の成果です。
しかしながら、話題が複数のメディアと dig のトップページに流出後、それが何を意味するかについて異なる解釈があります。
これは Hansen の解釈です: 「彼らはどんなクリティカルなパッチでも10日以内にリリースできると言った。Not one to let challenges go untested I called BS. その瞬間、Mike Shaver は挑戦状をたたきつけた。彼は私に手書きのメモを記した名刺を渡した。挑戦内容はこうだ - 責任のある情報開示の下で、Mozilla はどんなセキュリティホールでも“Ten [F***ing] Days”以内にパッチを作成し公開できる」 すばらしい!
そしてこれは Mike の解釈です: 「私は、とくに早急に対応すべきと判断される大きなリスクをもった情報に対して、そのような"1回限りの"チケットを彼に渡すことによって、必要とあらばすばやく修正するわれわれの能力に対する自信について述べようとしたのだ。 それは、後になって冷静に考えるとあまりに過激であったが、Mozilla の方針がすべての公開された脆弱性に対して10日以内に対応することであることを示すものではない。」
私は先週 Hansen の投稿を読んだときは特に気に留めてはいませんでした。どんなソフトウェアでもセキュリティパッチの対応時間を保証することは誰にもできないことは明らかです。これが Black Hat での説明や会議の中で行われたのではなく、Mozilla のパジャマパーティ(pajama party)で起こったということは、いうまでもなく非公式なこととして扱うべきです。
しかし、人々がこれは Mozilla の挑戦、Mozilla の方針あるいはただの冗談などと憶測しているので、Mozilla Chief Security Office である Window Snyder はこれに関して公式声明 を発表しました: 「これは我々の方針ではない。セキュリティはゲームではないし、挑戦状や最後通告を発行するようなものもない。しかし我々は重大なセキュリティパッチをすばやくリリースしてきた実績を誇りに思っている。我々は人々を安全に保つために、可能な限り早くリリースするよう懸命に働いている。」
それだけのことです。パーティは終わりました。とくに注目すべきことはありません。しかし、Mozilla のセキュリティを語るときのいろんな側面を学びました。結局は、セキュリティパッチは“毎月のくそったれの火曜日(訳注:Microsoft の月例パッチのこと)”ではなく “可能な限りくそっ早く”のほうがが好きです。
訳注:拡張あれこれ-MEMOにも関連記事があります。
0コメント:
コメントを投稿
<< トップへ