[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
News/2004/20040406 (1.5)
http://www.debian.org/News/2004/20040406
rev 1.5
--
victory
http://debian.rsz.jp/
don't include my addresses in mail body...
----------------------------------------------------------------
#use wml::debian::translation-check translation="1.5"
<define-tag pagetitle>GNU/Linux セキュリティについての共同声明</define-tag>
<define-tag release_date>2004-04-04</define-tag>
#use wml::debian::news
# Joint Statement about GNU/Linux Security
<h3>要点</h3>
<p>GNU/Linux のベンダーである Debian, Mandrake, Red Hat, 及び SUSE
が協力し、Forrester の "Is Linux more Secure than Windows?"
という報告に対して共同声明を出しました。報告は重大な脆弱性に対する
ベンダの対応の定性的評価を含めて主張しているにも関わらず、
すべての弱点をユーザへのリスクの大きさに関係なく等しいとみなしています。
結果として、フォレスターによって出された結論は、
どれほど迅速に重大な脆弱性を修正されているかという、
顧客が下している実用面での評価を顧みない、
実在の価値を極めて低く扱うものでした。</p>
<h3>全文</h3>
<p>GNU/Linux ディストリビュータ Debian, Mandrakesoft, Red Hat 及び SUSE
のセキュリティ対応チームは、その製品の脆弱性についてのデータの収集、
訂正にあたって Forrester を補助しました。収集されたデータは、Forrester
の "Is Linux more secure than Windows?" というタイトルを付けられた報告で
使用されました。報告の基礎である GNU/Linux
についての脆弱性データが十分に正確かつ有益であると考えられるのに対して、
Debian, Mandrakesoft, Red Hat 及び SUSE は、以後「私たち」としますが、
報告で出された結論の正確性について懸念しています。</p>
<p>私たちは、共同声明の形で Forrester に対応することが、ユーザであること、
及びフリーソフトウェアコミュニティにとっての利益になると信じます:</p>
<p>私達は、2004 年 2 月、Forrester
に対して、その生データの改良を手助けすることを申し入れました。
Forrester は一年間 (2002 年 6 月から 2003 年 5 月)、GNU/Linux
に影響する脆弱性についてデータを収集し、
ユーザに修正を提供するのにどれくらいの日数を要したかを調べました。
ここで重要なことは、
脆弱性の根本的なデータセットが正しかったことを確認することだけではなく、
職業上のフリーソフトウェアのセキュリティ分野の対応処理における特別な技術的、
組織的な配慮を明確に述べることでもあります。
この専門知識は製品に高い価値を付加するので、
ユーザからは非常に高く評価されているけれども、
脆弱性データの分析に使われた方法ではこの価値のほとんどが無視され、
誤った結論につながっていることがわかります。</p>
<p>私達のセキュリティ対応チームとセキュリティに特化し、名声を上げている組織
(CERT/DHS, BSI, NIST, NISCC など) は脆弱性について情報を交換し、
評価と手続において協力して対応します。
各脆弱性は個々に調査され、評価されます;
脆弱性の重大度は、それから他と同様に危険性と影響に基づいて、
ほとんどは技術的な、弱点と影響するソフトウェアの特性から、
個々のチームにより判断されます。この重大度は、
対応中の脆弱性と他の現存の脆弱性との優先度の比較材料に使われます。
重大な欠陥については数時間で反応できていることがユーザはわかるでしょう。
この優先度付けは、より重要な問題の解決を先に処理させ、
重大性の低い問題が延期されることはよくあることだということを意味します。</p>
<p>Forrester の報告はそう主張していますが、
セキュリティ欠陥が公知となってからベンダによる修正が入手可能になるまでの
経過時間の評価にあたってその区別をしていません。
この報告はそれぞれのベンダに対して単純な平均値である「全体 / 危険の配布日数」、
を示すに過ぎず、ユーザの実感から全くかけ離れたものとなっています。
この平均値は脆弱性をその影響を勘案せずすべて同等に扱うという過ちを犯しています。
脆弱性がユーザに対してすべて同じ影響があるわけではありません。
この企画はサードパーティーのデータにより脆弱性に重大性を割り当てていますが、
「重大性の高い」脆弱性の分類が不十分です。
特定のセキュリティ組織による脆弱性の単なる発表が必ずしも脆弱性の危険を
増大されるわけではありません。- 同様に、ネットワーク (リモート)
を越えて弱点を利用できることが脆弱性の重大度と無関係なこともよくあります。</p>
<p>報告がフリーソフトウェアのベンダと単独のクローズドソースのベンダを
同じ方法で扱わないことを信じます。フリーソフトウェアは、
それが定義する基準において、その多様性と選択の自由さが知られています。
これらの基準の実装の多くは主としてデスクトップ及びサーバとしての使用を
目的として提供されています。このことでユーザはベンダの基準よりも
自分の基準に基づいて、自由にソフトウェアを選択できます。
多様なソフトウェアパッケージが入手可能であることに加えて、
ソースコードの開放性、透明性、そして追跡できるという付加価値があります。
最後に、ある一つのソフトウェアベンダが報告の期間中にその欠陥を 100%
修正したという主張は、報告が示す結論のより綿密な調査の動機とすべきです。</p>
<p>署名者
<br>Noah Meyerhans, Debian
<br>Vincent Danen, Mandrakesoft
<br>Mark J Cox, Red Hat
<br>Roman Drahtmüller, SUSE</p>
<h3>追加情報:</h3>
<p>Javier Fernández-Sanguino Peña は 2001 年に<a
href="http://lists.debian.org/debian-security-0112/msg00257.html"
>調査結果</a>を<a
href="http://people.debian.org/~jfs/debconf3/security/data/">まとめ</a>、
Debian セキュリティチームが、Bugtraq
のリストに送られた脆弱性の修正に平均 35 日かかっていることがわかりました。
しかし、脆弱性の半分以上は十日以内という期間で修正され、
15% 以上は報告が発表された日に修正されています!
この分析ではすべての脆弱性が同じに扱われましたが。</p>
<p>彼は、2002 年 6 月 1 日から 2003 年 5 月 31
日の間に発見された脆弱性を基に再調査し、
公開されてから修正を含めた勧告を発表するまでの遅延の中間値が
13.5 日であることがわかりました (平均は 31.10 日です)。
繰り返しますが、この分析報告ではは違う優先度では分類されていませんでした。</p>
----------------------------------------------------------------