Debian セキュリティ監査プロジェクト

Debian セキュリティ監査プロジェクトは、Debian パッケージのセキュリティ問題の監査に重点的に取り組むプロジェクトです。

短い期間にプロジェクトはいくつかの Debian セキュリティ勧告に関わり、 Debian のセキュリティを向上する上でこの監査活動が本当に機能することを示してきました。 今後の活動からさらに多くの勧告がもたらされることが期待されます。

コードの監査を積極的に行なう姿勢をとることで、 私たちは、Debian がセキュリティを重要視するという長い歴史をこれからも続けていくのを手助けできます。

監査の範囲

このプロジェクトの目的は、Debian 安定版 (stable) リリース中のなるべく多くのパッケージについて、潜在的な欠陥を監査することです。 そもそも安全でないパッケージが安定版 (stable) リリースに入る可能性自体を減らす目的で、 不安定版 (unstable) ディストリビューション中に含まれる重要なパッケージについても、 欠陥を探すため監査するかもしれません。

現在の Debian リリース全体のサイズは非常に大きいため、 小さいチームですべてのパッケージを監査するのは実行不可能です。 そのため、よりセキュリティに気を配る必要がある (security sensitive) パッケージを優先するシステムがあります。

パッケージの優先順位付けに関するガイドラインは、 重要なパッケージの監査作業に対して確実に時間をかけようという試みです。 また監査ツールの概要では、 入手可能ないくつかのソースコードスキャナを使うとどのような監査ができるかを説明しています。

これまでにリリースされた勧告

セキュリティ問題に対して脆弱だとわかったパッケージに関しては、 Debian セキュリティチームによって DSA がリリースされます。

参考のため、セキュリティ監査の過程を通じて直接もたらされたこれまでの勧告のリストもあります。

さらに詳しい情報

プロジェクトに関するさらに詳しい情報はセキュリティ監査の FAQ で見つけることができます。