M. Takeyamaです。 #ちょっと補足説明モード On Wed, 16 Jun 2004 13:12:11 +0900 takezou <takezou@kde.gr.jp> wrote: [...]
Waldo や Coolo ができるのは上記2番目までです。 修正パッケージに時間がかかるのは、上記のパスの後半部分がボトルネックと なっているのです。 各パッケージ管理者からパッチが出るのは簡単ですが、その修正を実際に検証 する、というのは、責任が伴うので面倒なのですね。
このプロセスの遅さは、社内でも文句が出ていて、QA にもっとマンパワーを 回すことで今後は改善される予定なのですが…。 そうですか。 日本が特に厳しいというわけでは無いと思いますが、 コンピュータ・セキュリティ・インシデントの対応プロセスを明確化、 法制化(義務化)をいう動きがあります。 ベンダー(ディストロ)にとっては、対応力(セキュリティ)がいろいろな 意味で重要になってくるのではないでしょうか。
"明確化、法制化(義務化)をいう動き"というのは、/.Jでも取り上げられた いわゆる、経済産業省の「45日ルール」というやつです。 http://slashdot.jp/article.pl?sid=04/04/05/0653222&topic=16&mode=thread http://www.nikkei.co.jp/news/keizai/20040405AT1F0400904042004.html http://enterprise.watch.impress.co.jp/cda/security/2004/04/06/1924.html 経済産業省の外部団体(?)になるのかな? の独立行政法人 情報処理推進機構 (IPA)とJPCERTなどが中心になってコンピュータセキュリティインシデントの 対応プロセスのガイドラインを決めて実施していこうというものみたいです。 http://www.ipa.go.jp/security/fy15/reports/vuln_handling/index.html P.S. 国内メーカー、団体、組織とは連携は取れても、海外の組織とは連携 が取れるのでしょうか? インターネットコミニュティみたいなところとは、信頼できる/出来ない ということ判断で共同作業するか/しないかを決めるみたいです。 (判断基準は示されていないようです。) #ちなみに、KDE Projectって信頼できる団体と判断されるのでしょうか? #KDE Projectからしたら、IPAやJPCERTって何?とかダメ出しされたりして... #KDEのセキュリティチームは、ベンダーと連携して対処する体制は #あるみたいです。(少なくともコネクションはあるみたいです。) 「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」 をちゃんと読んでみたいと思います。 ----- M. Takayama