[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[rfr] webwml://security/audit/faq.wml



小林です。

原文の改訂に伴い、標題のファイル (査読中) の訳を更新しました。
[debian-www:06293] に含まれる同名のファイルの訳の差し替えです。
内容の把握間違いや訳として不適切な表現などがありましたら
ご指摘ください。

なお、「検査→監査」や「あなた」・「こと」の排除など、
これまでこのファイルや他のファイルに対してつけられたコメントを意識して
できるだけこちらの版で修正してあります。

-- 
|:  Noritada KOBAYASHI
|:  Dept. of General Systems Studies,
|:  Graduate School of Arts and Sciences, Univ. of Tokyo
|:  E-mail: nori1@xxxxxxxxxxxxxxxxxxxxxxx (preferable)
|:          nori@xxxxxxxxxxxxxxxxxxx
-----
#use wml::debian::template title="Debian セキュリティ監査 FAQ"
#use wml::debian::toc
#use wml::debian::translation-check translation="1.13"

<p>このページでは、このプロジェクトについて初めて耳にした人がもつと予想される、
代表的な質問の一部をリストアップします。</p>

<toc-display>

<toc-add-entry name="what">Debian セキュリティ監査プロジェクトとは何ですか?</toc-add-entry>
<p>Debian セキュリティ監査プロジェクトは、
Debian プロジェクト内で行われている小さなプロジェクトです。
Debian ユーザが利用できるパッケージのソースコード監査を実施して、
セキュリティに対して積極的な姿勢をとろうと計画されました。</p>
<p>監査では、Debian 安定版 (stable) ディストリビューションを対象として、
<a href="packages">パッケージの優先順位に関するガイドライン</a>によって方向づけられている監査作業を行います。</p>

<toc-add-entry name="start">Debian セキュリティ監査プロジェクトはいつ始められたのですか?</toc-add-entry>
<p>最初の勧告は 2002 年 12 月にリリースされ、それから長い時間をかけて一連の勧告が追加されてきました。</p>
<p>活動は非公式な立場で続けられましたが、
2004 年 5 月 に Debian プロジェクトリーダーの Martin Michlmayr さんによって「公式」の地位を認められました。</p>

<toc-add-entry name="advisories">どの勧告が、監査活動の結果として得られたものなのですか?</toc-add-entry>
<p>監査作業の一環としてリリースされた勧告は多数あります。
プロジェクトが公式の地位を与えられる前にリリースされたものは全て、
<a href="advisories">監査のもたらした勧告のページ</a>にリストアップされています。</p>
<p>近い将来には、
公式の地位を得た後にプロジェクトから出され公に知られた勧告が、
Debian セキュリティ勧告のレポートを見たり「Debian セキュリティ勧告プロジェクト」で検索したりして見つけられるようになると期待されます。</p>

<toc-add-entry name="credit">誰がこの仕事に貢献してきたのですか?</toc-add-entry>
<p>Steve Kemp さんが初期の処理過程を編成することで Debian セキュリティ監査プロジェクトを始め、
多数の脆弱性を発見してこのプロジェクトを試しました。</p>
<p>Ulf H&auml;nhammar さんが、初期のこの非公式な期間にプロジェクトに参加し、いくつかの脆弱性を発見しました。
それらの脆弱性はその後に修正されています。
Ulf さんの後まもなく Jaguar さんもまたいくつかの重大なセキュリティ問題を発見しました。</p>
<p><a href="http://www.dwheeler.com";>David A. Wheeler</a> さんが、
この活動を Debian の公式なプロジェクトとして率いることを申し出るよう Steve Kemp さんに言い、
それは Debian プロジェクトリーダーの Martin Michlmayr さんが関与することによって可能となりました。
David さんはまた、セキュリティ監査プロジェクトのウェブページの中身に関して多数の有益な提案をし、複数のセクションに直接的な貢献をしました。</p>
<p><a href="http://www.debian.org/security";>Debian セキュリティチーム</a>が、
見つけられたあらゆる脆弱性を速やかに修正して世界中に確実に配布するという、監査を成功させる上での大きな手助けをしました。</p>
<p>私たちは、貢献してくれる人がさらにいたらいつでも歓迎します!</p>


<toc-add-entry name="contribute">私はどのように貢献できますか?</toc-add-entry>
<p>パッケージの監査に必要な時間や技術力をもっているのなら、単純に監査に着手すればよいのです!</p>
<p><a href="auditing">監査方法の概要</a>を読めば、仕事を始める方法がよくわかるはずです - さらに質問があれば、<a href="http://shellcode.org/mailman/listinfo/debian-audit";>debian-audit メーリングリスト</a>で訊くとよいでしょう。</p>

<toc-add-entry name="mailinglist">特定のパッケージについてメーリングリスト上で議論してもかまいませんか?</toc-add-entry>
<p><a href="/security/">DSA</a> がリリースされる前には、
発見した問題を含むパッケージの名前は出さない方がよいでしょう。
というのは、
修正される前にパッケージの名前を出すと、
悪意をもったユーザが、書かれた欠陥を巧みに利用できるからです。</p>
<p>その代わりメーリングリストは、
コードの一部を記述してその悪用可能性や修正方法についての意見を求めるのに使うことができます。</p>

<toc-add-entry name="maintainer">私はパッケージのメンテナとしてどのように貢献できますか?</toc-add-entry>
<p>パッケージのメンテナは、
コードそのものに一通り目を通すか手助けを求めるかして、
自分がパッケージするソフトウェアのセキュリティを確実なものにする手助けをできます。</p>
<p><a href="maintainers">パッケージのメンテナ向けの監査方法</a>の概要を見てください。</p>

<toc-add-entry name="reporting">発見した問題をどのように報告したらよいのですか?</toc-add-entry>
<p><a href="$(HOME)/security/faq">セキュリティチームの FAQ</a> に、その方法を記述したセクションがあります。</p>

<toc-add-entry name="clean">監査されてセキュリティ面に問題がないとわかったパッケージが利用できるのですか?</toc-add-entry>
<p>いいえ、これまでに監査を受けて内部に問題が見つからなかったパッケージは、公にはリストアップされていません。</p>
<p>その一つの理由は、見落とされた問題が潜んでいるかもしれないことにあり、
また別の理由は、細かい調整を受けずに複数の人々で監査が行われることにあります。</p>

<toc-add-entry name="moreinfo">さらに詳しい情報をどこで得られますか?</toc-add-entry>
<p>購読して質問できるメーリングリストがあります。</p>
<p>さらに詳しくは <a href="http://shellcode.org/mailman/listinfo/debian-audit";>debian-audit メーリングリストのページ</a>を見てください。</p>