最新ニュース / Debian プロジェクトニュース / 2000 / 04 月 11 日

Debian ウィークリーニュース - 2000 年 4 月 11 日

ようこそ。Debian 開発者のみなさん向けニューズレター、 Debian ウィークリーニュースへ。

長い間、誰もが Debian の基本的なセキュリティ問題に気づいていました。 パッケージは Debian ミラーサイト上で変更される可能性があり、 もし変更されても、ユーザにはダウンロードしたこのパッケージが 開発者がアップロードしたものと同じかどうか 確認する方法がありません。 このことをもっと安全にするような 二つのアイデアが何度も出ました。一つ目のアイデアは、.deb ファイルそのものの中に署名を入れて、開発者が作った パッケージであることを確かめられるようにすることです。 二つ目のアイデアは、Packages.gz ファイルを署名して、 パッケージが通常のアップロード手続きを経たことを 確かめられるようにすることです。 これらの署名のどちらも完全なセキュリティを提供しません。 欠陥がたくさん残っています。例えば、開発者のコンピュータが 侵入されるかもしれませんし、もし彼らが鍵をきちんと 管理しなければ、彼らの鍵は信用ならなくなるでしょう。 過去においては、Debian でよくあるように、 私たちは何もせずにほったらかしにしていました。 完全な解決法がわからなかったからです。

この論争は今週 再浮上しました。どちらも不完全だとしても、両方の種類の 署名を実装すれば、少なくともセキュリティ度がちょっとは高くなる、という 流れに議論が進んでいます。 メーリングリスト、 IRC、等々のいくつかの 長い議論のあと、このような同意に達しました。 では、誰が実装するのでしょうか?

五つの新しいメーリングリストが できました。目的は PA-RISC や S/390 への移植から、 オランダ語の国際化までにおよびます。

Incoming ディレクトリへの直接アクセスが http://incoming.debian.org/ で現在利用可能です。古い Incoming ミラー網は 停止します。

Alcôve と合同の IBM グローバルサービスの 「Linux サポートライン」は いくつかの国で Debian の電話サポートを 提供してくれるでしょう。面白いことに、かれらの 発表は Debian が現在の市場首位 (27%) であると主張しています。

今週、以下を含めて 24 以上の新しいパッケージが Debian に入りました。

• abook: テキストベースの ncurses 住所録アプリケーション
• bass: 大量検査セキュリティスキャナ [non-free]
• debwrap: dpkg や apt-get のラッパ
• doxygen: C、C++ および IDL の文書
• dvipdfm: DVI から PDF へのトランスレータ
• fujiplay: Fuji のデジタルカメラのインタフェース
• gob: GTK+ オブジェクトビルダ

このニューズレターを毎週電子メールで受け取りたい方は、debian-newsメーリングリストを購読してください。

バックナンバーもご利用いただけます。

今週号の Debian ウィークリーニュースは Joey Hess が編集しました。