[debian-devel:18989] Re: 【セミナ確定】東京エリアDebian勉強会(2015年6月勉強会 )

[Takahide Nojima <nozzy123nozzy@xxxxxxxxx>]

野島です。

もろもろご指摘ありがとうございます。ところで、

>4.4 脆弱性対応が行われないアーカイブエリア
> 
> https://www.debian.org/security/faq#contrib
> の記述を見て修正したほうがいいかと思います。

なんですが、ひょっとして、contribは本体DFSG準拠だけど
non-freeに依存関係があるもののアーカイブなので、
ライセンス上直せない/ソースがないから直せないというわけではないのだが、
ポリシー上基本サポート無しとかに野島の資料を修正せよということでしょうかね？

お手数かけてすみませんが、確認させてくださいませー。

>未公開の情報ですからGPGで暗号化したうえで、というのが必要です。

こちら、いわゆるメールの第３者の盗聴防止で、一般的に秘匿情報を扱うセオリーとしてこちらにすることが望ましいということで良いでしょうか？

つまり、セキュリティチーム側が明確にアナウンスしているというわけではないが、常識的にそうした方が良いでしょ？という感じ？

＞どのようなオプションを指定しているのか？

む？資料記載のとおり、
-fstack-protector-strong -Wformat -Werror=format-security -D
_FORTIFY_SOURCE=2
かと？他について、ちょっと思い当たらないのですが、ひょっとしてHardeningとしてのオプションで、違うオプションがつく場合が実はあるという
意味ですかね？dpkg-buildflagsみてもちょっと
見当たらず..(-fPICはオプション本来の趣旨として微妙と考えましたので割愛しました）

ご指摘のとおりで、dpkg-buildflagsが指定するオプションとなります。

> ツールについてはfuzzingなどもあります。

こちら情報ありがとうございます。他にも会場で、debian-security-support以外
に古くからdebsecanというパッケージが使われてきたという指摘も頂きました。

＞https://www.debian.org/security/audit/　

ええ。こちら、活動が野島の目からは残念ながら確認できず、実態がどうなのかもわからななかったので、資料の話題から、まるごと割愛させていただきまし
た（単に、野島が確認できる範囲では見えないだけで、じつは見えない形でガッチリ活動されている場合もあるかと思いまして。）実際のところどうなんでし
ょうね？？

取り急ぎの返答ではありますが、こんな感じとなります。

野島

2015-06-21 (日) の 12:03 +0900 に Hideki Yamane さんは書きました:
> On Thu, 18 Jun 2015 17:39:45 +0900
> Takahide Nojima <nozzy123nozzy@xxxxxxxxx> wrote:
> > タイトル：「Debian と脆弱性対応のあれこれ」（野島）
> 
> 6月のDebian勉強会資料をみた感想です。
> 
> 
> > 4.4 脆弱性対応が行われないアーカイブエリア
> 
> https://www.debian.org/security/faq#contrib
> の記述を見て修正したほうがいいかと思います。
> 
> 
> > 4.5 脆弱性に関しての対応の流れ
> > PAT2: 既知でない場合は、そっと security@debian.org または team@security.debian.org
> >  にメールで連絡 (英文)
> し、あとは指示に従えば良いです。
> 
> 未公開の情報ですからGPGで暗号化したうえで、というのが必要です。
> 
> 
> > 4.7.1 hardening
> 
> > hardening 有効時、ビルド時に実際に付け加えられる gcc のオプションは以下の通りです。
> 
> どのようなオプションを指定しているのか？
> dpkg-buildflags だと思うのですが、もう少し掘り下げたほうが面白いと思います。
> 
> 
> > 4.7.2 Debian パッケージ済みの脆弱性静的解析ツール群
> 
> ツールについてはfuzzingなどもあります。
> 
> 
>あとは
>https://www.debian.org/security/audit/　というのがありましたが、ここ数年
>活動がされてませんね。