Debian セキュリティ勧告は CVE と互換性があります

2004 年 3 月 30 日

2004 年 2 月 24 日にサンフランシスコで行われた RSA Conference 2004 において、 Debian セキュリティ勧告 (DSA) は CVE と互換性があると宣言されました。

Debian セキュリティチームによって行われる DSA サービスは、 1997 年以降の Debian GNU/Linux リリースで修正されたセキュリティ脆弱性についての情報を提供してきました。 公に知られた脆弱性およびセキュリティ上の問題点のすべてについて名前を標準化することを目的とするCommon Vulnerabilities and Exposures (CVE) プロジェクトとの協調的な取り組みの中で、 2002 年 6 月以来、 新たなセキュリティ勧告は CVE 識別番号を含めた形で出されています。 Debian は 2003 年 5 月に 正式に CVE との互換性を申請しました。

Debian ディストリビューションに影響するセキュリティ問題に関連した付加情報をユーザに提供することが非常に重要だと、 Debian プロジェクトは信じています。 勧告に CVE 識別番号を含めることで、 ユーザは一般性のある脆弱性を Debian 特有の勧告やアップデートと関連づけやすくなります。 これによってユーザは、自分に影響する脆弱性への対処にかける時間を減らすことができます。

Debian ディストリビューションに基づいているかいないかに関係なく、 ネットワークやホストの侵入検知システムのような CVE を使えるセキュリティツールや脆弱性評定ツールが既に配置された環境においてもまた、 セキュリティに関する共通のリファレンスが利用できることによって、 セキュリティ管理が簡単になります。

Debian プロジェクトは、 2002 年 8 月に始められた再調査を通じて、 1998 年 9 月以降にリリースされた全ての勧告に CVE 識別番号を付加してきました。 すべての勧告は Debian ウェブサイトから取り出してくることができ、 また新たな脆弱性についてのアナウンスは、 そのリリース時に利用できる CVE 識別番号を含んだ形でなされます。 任意の CVE 識別番号と関連した勧告は、 検索エンジンを使って直接さがすことができます。

その上、 Debian は完全なクロスリファレンスの表を提供し、 1997 年以降に発表された勧告に関するすべてのリファレンスをそれに含めています。 この表は、 CVE で入手できるリファレンスの一覧表を補完する目的で提供されています。

Debian の開発者たちは、 Debian ディストリビューションのセキュリティステータスに関する正確かつ最新な情報を提供することで、 新たなセキュリティ脆弱性に伴う危険性にユーザがうまく対処できるようにすることが必要であると、わかっています。 Debian プロジェクトは、 CVE 識別番号を使うことで、 公に知られた脆弱性およびセキュリティ上の問題点のすべてに対し、 標準化されたリファレンスを提供できるようになります。 これによってユーザは、 CVE の使用が可能なセキュリティ管理プロセスを作り出すことができます。