At Tue, 15 Jun 2004 22:35:56 +0900, takezou wrote:
M. Takeyama です。
On Tue, 15 Jun 2004 14:40:34 +0200 Takashi Iwai
wrote: At Tue, 15 Jun 2004 20:17:21 +0900, takezou wrote:
もし、応答がないようであれば、severity を上げて再度文句を言う、と。 普段から不思議に思っていること。(前にも言ったことありますが...) セキュリティエラッタの出す時期(感覚的なもの) ---> 私の感覚的なものとは一致しません。 他のバグなんかも一種独特の間(間隔)みたいなものがあるのかな? と変に誤解しているのかもしれません。
セキュリティ関連はかなり慎重にパッチを出しているようなので、そのせいで しょう。 他のディストリビューションと協調する必要がある、というのも理 由の一つだと思います。
反論するようですみません。 KDE Projectの内部事情を少しは知っているのでそれを例に取って、 少しコメントします。 最近発表があった、kdelibs の対応の件ですが、少なくとも、14/05/2004 にはデストロ(Vendor)にオープンになった情報の対応が、5/26にSUSEより kdelibs (SuSE-SA:2004:014)としてアナウンスされています。
パッチ作成は、Waldo Bastianさんがやったと思われますが 少なくとも KDEのコア開発者かつSUSEの関係者の4人が早い段階で 情報共有出来ています。 SUSEからセキュリティの正式アナウンスメントが出されるまで約2週間 かかっています。
パッケージのアップデートは、 ・パッケージの修正 ・パッチ情報の作成 ・セキュリティ・チームによる修正の検証 ・QA チームによるパッチおよびアップデート情報の検証 ・実際にサーバに流す という冗長なパスを通っているためです。
全てのセキュリティ対応がそうであると断言はしませんが KDE Project の関係者としてどうしてこんなに時間がかかっているのか理解できません。 (もっと早く対応できる能力はあるはずだと思ってしまいます。) #Waldo Bastian(元リリースコーディネータ, kdelibのメンテナ(多分,今も)) #Dirk Mueller(元リリースコーディネータ) #Stephan Kulow(現リリースコーディネー) #Adrian Schroeter(SUSE用KDE パッケージのメンテナ) http://www.kde.org/info/security/advisory-20040517-1.txt
Waldo や Coolo ができるのは上記2番目までです。 修正パッケージに時間がかかるのは、上記のパスの後半部分がボトルネックと なっているのです。 各パッケージ管理者からパッチが出るのは簡単ですが、その修正を実際に検証 する、というのは、責任が伴うので面倒なのですね。 このプロセスの遅さは、社内でも文句が出ていて、QA にもっとマンパワーを 回すことで今後は改善される予定なのですが…。
もっとも、一番の理由は人手不足だろうとも思うのですが。 約400人のエンジアがいても大変なんですね。
そんなにいませんよ :)
SUSE 全社員が 400 人未満、実際に開発に携わっているのは半分もいないは
ずです。
--
Takashi Iwai