gistfile1.txt

ブログネタメモ。 @debiru の以下のツイート群にリプライしようとしたけどまとまりきらんかったので
ブログに書くしかねえと思ったけどそのような暇がちょっとないのでとりあえずメモを載っけとく

---

* debiru: PHP（言語自体）とかオープンソースソフトウェアとか、たまにセキュリティリリースがされて
「問題のあるバージョン使ってたら絶対にバージョンアップしてね」とかやるけど、リリースノートだけ
じゃなくて「セキュリティ的に問題があるので今使っているべきでないバージョン」一覧とかほしい。
[http://twitter.com/debiru/status/296557919795806209]
* debiru: 例えば何か ver 3.0 があって、 3.1 ができて 3.1 に脆弱性あったから 3.1.1 作ったみたいな
場合に、「ver 3.0 を使い続けているサイト」が問題かどうかを調べられるようにしたい。というか「何で
そんなバージョン使ってるんだよ」ってときに指摘しやすくしたい。
[http://twitter.com/debiru/status/296558514917216256]
* debiru: しばしば参照して恐縮ですが http://co3k.org/blog/25 の記事みたいな話で、セキュリティリリ
ースがあったときに、結局どのバージョンに問題があるのかを一目したい的な。セキュリティ的に問題があ
るから使うべきでないバージョン一覧欲しい（そういうのないのか）
[http://twitter.com/debiru/status/296559945179082752]

---

@debiru 主題の「セキュリティリリース」をいきなり無視すると、 OSS 開発者側の建前としては「サポート
対象の系の最新版」以外は「今使っているべきでない」ので、使うべきものとして各最新版のポインタを示
すのみで最低限の仕事は終わっちゃいますね (まあ AS-IS basis ってそういうことですね)

で、「俺んところのプロダクトは親切だからそういうリスト公開しよう」となったとしてもいろいろ難しい
そのセキュリティリリースが必要かどうかは人による
セキュリティリリースによって解消されるものは即ちバグ
当該バグがそのユーザにとってどの程度影響を受けるか、重要か、またそうでないかは完全にケースバイケース
そして客観的にはバージョンのみをもってセキュリティ的に問題があるとは言えない。なぜならパッチ管理
をおこなっている可能性があるから

それからバージョンアップすることがセキュリティ対策として適切であるとは限らない。それはリスク評価
しないとわからない（教科書的な話になるけど）

結局個々の問題について「これどうなの？」という感じにしないといけなくなる（その材料として「その系
でこれまでにおこなわれたセキュリティリリース」の一覧は有用。 secunia で検索してもいいですね）

「最新バージョンに追従しない」という選択をしたユーザには、自分が使用しているよりも後のバージョンのバ
グひとつひとつについての影響を評価し、必要であれば対策をおこなう責任を負うことが期待される（はず）。