Debian セキュリティ監査 FAQ

このページでは、このプロジェクトについて初めて耳にした人がもつ可能性がある、 代表的な質問の一部をリストアップします。

Debian セキュリティ監査プロジェクトとは?

Debian セキュリティ監査プロジェクト (Debian Security Audit Project) は、Debian プロジェクト内で行われている小さなプロジェクトです。Debian ユーザが利用できるパッケージのソースコード監査を実施して、 セキュリティに対して積極的な姿勢をとろうと計画されました。

監査は Debian 安定版 (stable) ディストリビューションを対象とし、監査作業はパッケージの優先順位付けに関するガイドラインによる指示に従います。

Debian セキュリティ監査プロジェクトはいつ始められたのですか?

最初の勧告は 2002 年 12 月に出され、その後、やがて他の勧告も出されました。

活動は非公式な立場で続けられましたが、2004 年 5 月 に Debian プロジェクトリーダーの Martin Michlmayr さんによって公式の地位を与えられました。

どの勧告が、監査活動の結果として得られたものなのですか?

監査作業の一環として出された勧告は多数あります。 プロジェクトが公式の地位を与えられる前に出されたものは全て、監査のもたらした勧告のページにリストアップされています。

近い将来には、 公式の地位を得た後にプロジェクトから出され一般に知られるようになった勧告が、Debian セキュリティ勧告のレポートを見たりDebian セキュリティ監査プロジェクトで検索したりして見つけられるようになると期待されます。

監査作業はすべて勧告に繋がっているのですか?

実際のところ、繋がってはいません。監査の過程で、 直接は悪用可能ではない (しかしプログラムをクラッシュさせる可能性がある) と分かったセキュリティ問題は多数あります。他にも、 私たちの発見した悪用可能なセキュリティ問題が、Debian の公式安定版 (stable) リリースには存在せず、テスト版 (testing) リリースや不安定版 (unstable) リリースに存在することもあります。こういった問題はすべて、Debian のバグ追跡システムを通じて (あるいは場合によっては上流開発者に直接) 報告されます。

誰がこの仕事に貢献してきたのですか?

Steve Kemp さんが Debian セキュリティ監査プロジェクトを開始して初期の処理過程を編成し、 多数の脆弱性を発見することでその処理過程を試しました。

Ulf Hänhammar さんが、初期のこの非公式な期間にプロジェクトに参加し、いくつかの脆弱性を発見しました。 それらの脆弱性はその後に修正されています。Ulf さんの後まもなく Swaraj Bontula さんと Javier Fernández-Sanguino さんもいくつかの重大なセキュリティ問題を発見しました。

David A. Wheeler さんが Steve Kemp さんに対して、この活動を Debian の公式なプロジェクトとして率いることを申し出るようけしかけ、それは Debian プロジェクトリーダーの Martin Michlmayr さんの参加によって可能となりました。また、David さんは、セキュリティ監査プロジェクトのウェブページの内容に関して多数の有益な提案をし、 複数のセクションに直接的な貢献をしました。

Debian セキュリティチームが、 発見されたあらゆる脆弱性を速やかに修正して世界中に確実に配布するという、 監査を成功させる上での大きな手助けをしました。

以下の人々が少なくとも1つのプロジェクト名でのセキュリティ勧告に貢献してきました。

私たちは、貢献してくれる人がさらにいたらいつでも歓迎します!

貢献するには?

パッケージの監査に必要な時間や技術力をもっているのなら、あとは監査に着手するだけです!

監査方法の概要を読めば、仕事に取り掛かる方法がよくわかるはずです。 さらに質問がある場合は、debian-security メーリングリストで訊くとよいでしょう。

特定のパッケージについてメーリングリスト上で議論してもかまいませんか?

DSA が出される前には、発見した問題を含むパッケージの名前は出さない方がよいでしょう。 というのは、修正される前にパッケージの名前を出して欠陥を説明すると、 悪意をもったユーザが、その欠陥を悪用できてしまうからです。

その代わりメーリングリストは、 コードの一部を記述してその悪用可能性や修正方法についての意見を求めるのに使うことができます。

パッケージのメンテナとして貢献するには?

パッケージのメンテナは、 自分でコードに一通り目を通すか他人に手助けを求めるかして、 自分がパッケージ化しているソフトウェアのセキュリティを確実なものにする手助けをできます。

パッケージのメンテナ向けの監査方法の概要を見てください。

発見した問題を報告するには?

セキュリティチームの FAQ に、その方法を説明しているセクションがあります。

監査されてセキュリティ面に問題がないとわかったパッケージ一覧が利用できるのですか?

いいえ、これまでに監査を受けて内部に問題が見つからなかったパッケージは、 公にはリストアップされていません。

それは、見落とされた問題が潜んでいる可能性があるため、 そして細かい調整を受けずに複数の人々で監査が行われているためです。

さらに詳しい情報をどこで得られますか?

購読して質問できるメーリングリストは現在ありません。当分の間 debian-security メーリングリストを使ってください。