パスワードを忘れた? アカウント作成
10472 story

Debianセキュリティチームが人材不足 73

ストーリー by Oliver
特定少数にしかかる重大な責任 部門より

戸高芳広 曰く、 "ZDnetUKZDnetAustraliaが伝える所によれば、現在Debianのセキュリティチームの人材不足が原因でセキュリティのアップデートが遅れつつあるとの事だ。 ZDnetAustraliaによると、Debianのセキュリティ設備に問題があった6月に発見されたSpamAssassinの脆弱性の為のアップデートはFedoraが6月16日にリリースしたのに対し、Debianは7月1日のリリースになってしまったとの事だ。
Debian Project Leader Reportでは、セキュリティチームの人材を増やす等して、このような事が起こらないようにしていくとしている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2005年07月11日 8時22分 (#765342)
    セキュリティチームが人材不足  というセキュリティホール
  • まさか… (スコア:3, 興味深い)

    by Artane. (1042) on 2005年07月11日 8時48分 (#765345) ホームページ 日記
    今年の一月頃にsargeのリリースに関係するメンバが軒並み消息を断って、体制を建てなおすのに数ヵ月かかった悪夢が再び…?

    # 消息を断った面子がUbuntu Foundationに雇われていたという
    # 「オチ」がついてるのでややこしいことになってるのですが(;´Д`)

    • Re:まさか… (スコア:2, 参考になる)

      by Henrich (121) on 2005年07月11日 12時06分 (#765388)
      まぁたしかに mdz が ubuntu に移ったことで security team な仕事をしなくなったのはちょっと大きいかもしれませんね。

      でも今回のはインフラストラクチャ問題のほうが大きいですけど(究極的には人手不足が原因、というのは外れてないか)
      親コメント
      • Debian がいつまでも「古いバージョンにセキュリティパッチを当てる」という
        ポリシーなのが問題なのかなぁ(そんなことやってたら何人いても人手不足)、と
        思ったのですが、どうなんでしょうね。

        それは Ubuntu が生まれた要因でもあるはずなので、Ubuntu に Debian 全員が
        移動するか、Debian が早くアップデートするようになるかすれば解決する、かも???

        #deb 系を使ったことがない部外者なので、すべて憶測です。
        親コメント
        • by doripush (653) on 2005年07月11日 13時52分 (#765420)
          > Debian がいつまでも「古いバージョンにセキュリティ
          > パッチを当てる」というポリシー

          Debianに限らず、商用ディストリビューション(RHELやSuSE)も
          も同様のポリシーです。商用ディストリビューションは、
          商用ソフトウェアの動作プラットフォームでもあるため、
          一部ソフトウェアのバージョンを変更するすることは基本的
          に許されません。

          フリーなDebianはそのような制約はないものの、一部ソフト
          ウェアをアップデートするために依存する別のソフト
          ウェアも強制的にアップデートさせる可能性があること
          は望ましくない、という判断なのでしょう。一部のユーザの間
          では悪名高くなりつつあるポリシーであることは確かです。
          親コメント
        • そろそろ、全パッケージ足並みをそろえてのリリースをするというやり方にさよならしたほうがいいのではないかとおもいます。デスクトップ関係のパッケージの足並みが遅れても「そんなの使わないよ」って人も多いのではないでしょうか。

          パッケージプールの管理の仕方は今までのままでいいので、Debian Web Server Package Setとか Debian Office Worker Package Setとかそんな感じでパッケージのグループを定義して、それぞれのグループの中で足並みがそろえば当該グループに関してはリリースする、みたいなのでどうでしょうか?もちろん important なパッケージは全部のグループに属するでしょうし、特定のグループにしか属さないパッケージもあるでしょう。

          もちろん派生は今後も出現しつづけるでしょうが、それは Debian ベースというよりは Debian Office Worker Package Set ベースで、とかそんな感じで出ればいいかな、と。
          --
          屍体メモ [windy.cx]
          親コメント
    • by Anonymous Coward on 2005年07月11日 9時24分 (#765353)
      まさにオープンソースのリスクですな。
      親コメント
      • by Anonymous Coward
        Debian自体より、それにぶら下がってるディストロはどうなんだろ。
        naturelinuxなど、セキュリティを謳い文句にしてたけど。
        • by Anonymous Coward
          debは使ってるけど、Debianじゃないよ
        • by Anonymous Coward
          apt/debだからってdebian系と決め付けるのってどうかと思う。 rpmつかってたらRedHat系なのかと、20日間拘留して問い詰めたい。
          • by Anonymous Coward
            その系統にどれくらいの種類があるのか知らんが
            Debian、Red Hat、Slackware、Gentooのどれだ、言われればRed Hat系じゃないのかなあ。

            # あまのじゃく
  • 人材不足解消より (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2005年07月11日 7時40分 (#765338)
    ここは、ほら、ノーガード戦法ですよ。
  • by noritada (20478) on 2005年07月11日 10時04分 (#765365)

    Debian本家のウェブページの最新のニュースに、 Debian Security Support in Place [debian.org]とあります。 次のように書かれています。

    There were several issues with the security infrastructure after the release of sarge, that lead to the Debian security team being unable to issue updates to vulnerable packages. These issues have been fully resolved, and the infrastructure is working correctly again.

    適当に訳すと:

    sargeリリース後にセキュリティのインフラストラクチャにいくつか問題があり、Debianセキュリティチームはパッケージのアップデートを配布できませんでした。しかし今ではインフラストラクチャは再びきちんと機能しています。

    ということで、やや古めの情報ではないでしょうか。 どちらにしろコミュニティベースの世界がマンパワー不足というのは確かだと思いますが……。

    # 元ネタは当たっていないのですが。

    • by Henrich (121) on 2005年07月11日 11時59分 (#765387)
      そのとおり :-)

      まとめると
      ・確かにセキュリティのインフラ(アップデートパッケージの作成部分)に問題があった
      ・でもそれは改善されている(怒涛のように DSA でまくり)
      ・人手不足は事実。これは Javier Fernández-Sanguino Peña が debconf3 で言っていたこと [debian.org] なので、いい加減改善してないのは怠慢ではないかなー

      ってことで。
      親コメント
      • by Anonymous Coward on 2005年07月11日 14時36分 (#765429)
        Debian Project Leader Report for 2005-07-07 によると、

        There have been technical failures and communication failures,

        端的にこのように述べています。後者の問題が前者に拍車をかけたとも言っています。

        Sargeリリースの前後に急にアップデートが滞ったような状況になったので、慢性的な(そして深刻な)人材不足というより、インフラ移行でミスした、と言うのが主な原因のようです。
        親コメント
  • by Anonymous Coward on 2005年07月11日 9時25分 (#765354)
    タレコミしか見てないのですが。

    対Fedoraで考えると、FedoraがRed Hatのサポートを受け、そのリソースを使えるのに対して、純ボランティアベースのDebianは基盤が脆弱ということでしょうか。他のボランティアベースのディストリ(Gentooとか?)は、どういう体制作りをしているんでしょう。

    ただ、いくら基盤を確保するからといって、プロジェクトが一定期間開発者を拘束するといったことは出来ないでしょう。辞めたいときに辞められないプロジェクトなんて、多分、すぐに飽きられる。
    • by SteppingWind (2654) on 2005年07月11日 10時09分 (#765366)

      オープンソースでバザール方式で開発していれば, 多くの人の目にさらされるから問題点はすぐに修正される, なんてことが言われていましたが, 実際にはそうではなかったということでしょうか.

      元もと, この説には人材が無限に存在するという無茶な前提が有ったわけですけど, セキュリティを取り扱う程度の技量を持った人って, 神学生なみに少ないんじゃないですかね.

      親コメント
      • by Anonymous Coward on 2005年07月11日 10時22分 (#765368)
        >セキュリティを取り扱う程度の技量を持った人

        少ないでしょうね。
        さらに時間が余っているという条件で少なくなり、
        さらに無料で作業してくれるという条件で・・・。
        親コメント
      • by Anonymous Coward on 2005年07月11日 11時01分 (#765379)
        > 多くの人の目にさらされるから問題点はすぐに修正される

        問題点そのものの把握は済んでいるんですよ。それについて手を動かす人が居なかった、と。また、今回はDebianの問題であって、他のディストリでは、解決していたわけだから。

        オープンソース一般論じゃなくて、個別の組織論として解決するのが良い方向では?
        親コメント
        • >> 多くの人の目にさらされるから問題点はすぐに修正される

          >問題点そのものの把握は済んでいるんですよ。それについて手を動かす人が居なかった、と。また、今回はDebianの問題であって、他のディストリでは、解決
      • by Anonymous Coward on 2005年07月11日 12時08分 (#765391)
        セキュリティを取り扱う程度の技量を持った人って, 神学生なみに少ないんじゃないですかね.
        別にそんなに少なかないよ。本格的に暗号の研究ができる人材は限られてるけど、セキュリティ一般って話になると大して難しい内容じゃないし、昨今では人気もあるトピックだから、きっちりと勉強した学生たちがMS、PhDともにたくさん学校から出てきてる。/.Jでだってきちんとした研究論文を発表したこともない、怪しげな自称「セキュリティ専門家」が徘徊してるのを見れば、セキュリティの人気の高さの察しもつくでしょ。

        本当のところは、そういう人材は就職口にも困らないから(だからこそ人気のあるトピックなわけで)、わざわざボランティア、ヲープンソースなんかで活動する動機も必要性もないというだけ。

        親コメント
        • >セキュリティ一般って話になると大して難しい内容じゃないし、
          >昨今では人気もあるトピックだから、きっちりと勉強した学生たちが
          >MS、PhDともにたくさん学校から出てきてる。

          実際のところ、現在セキュリティ関連の教育をまともに受けた学生は
          毎年どれくらい輩出されているんですかね。
          スラドに聞け! の「今年の新人は使えますか?」 [srad.jp]での情報によると
          セキュリティどころか普通の業務ができるレベルでも
          かなりお寒い状況みたいなんですけどね。

          >/.Jでだってきちんとした研究論文を発表したこともない、
          >怪しげな自称「セキュリティ専門家」が徘徊してるのを見れば、
          >セキュリティの人気の高さの察しもつくでしょ。

          スラドの話になると何か急にネガティブイメージになりますね。
          まぁホンモノの専門家となると、毎日忙しくてスラドなんかに
          書いてるヒマなんてないと思いますけどね。

          >本当のところは、そういう人材は就職口にも困らないから
          >(だからこそ人気のあるトピックなわけで)、わざわざボランティア、
          >ヲープンソースなんかで活動する動機も必要性もないというだけ。

          別にオープンソースだから全てボランティアというわけでもないですよね。
          給料もらってコード書いたりプロジェクト管理したりしている人はいるでしょう。
          好きだからってんでやってるボランティアの人に全ておんぶにだっこと
          いうのは、これからは無理があるというのは確かでしょうけども。
          親コメント
      • by Anonymous Coward on 2005年07月11日 12時40分 (#765402)
        問題点を発見した人がコードを修正・コミットする権限を持ってることは稀なんじゃないですかね。
        オープンソースである以上、勝手にフォークして問題が解消されたバージョンのコードを作ることはできるんだけど、それは望ましい姿じゃない気もするし。
        親コメント
      • >セキュリティを取り扱う程度の技量

        「あるパッチを別のバージョンのソースに当てたときにrejectされた部分を手で修正できる程度の技量」ですむようなきがするがそんなもんではない?
        親コメント
      • by Anonymous Coward on 2005年07月11日 13時24分 (#765417)
        結局その手の人員はセキュリティ要員と言えば聞こえは良いけど、実際は他人のケツ拭き要員だからねぇ。
        どうしても自分主導での新機能の作成なんかと違って趣味性も低いし当然モチベーションも低いでしょう。

        だからこそ、こういうのは企業が手を入れてくれると良いんだけどね。
        企業であればセキュリティ向上を売りとして他で稼ぐことが出来るから、一般人よりはモチベーションを保ち易いと思うのだけど。

        親コメント
    • 企業というよりは、より簡潔に「資源(資金)」でしょう。

      確かに企業という特効薬があればリスクという病原体に勝ち抜くための栄養(リソース)が得られます。ですが、オープンソースの良いところも悪いところもきちんと理解した企業でないと、むしろその薬の副作用が強力に現われてしまうことになりかねません。

      具体的な副作用はいろいろありますが、出資企業が我が儘な会社の場合それに振り回されたりすることが多

  • by Anonymous Coward on 2005年07月11日 10時22分 (#765369)
    特定少数に重大な責任がのしかかりがちなのはオプソでもプロプラでも同じですな。

    その状況を打開するためには主に二つの方法(人を増やす、作業をルーチン化して敷居を下げる)があるわけです。
    Debian位のプロジェクトならばある程度まとまった額の企業からの寄付もあり、両方の策を取れると思っていましたが…。
    今現在、フルタイムでセキュリティにあたってる人はほとんど居ないんでしょうか?

    # タレコミ文2行ぐらいしか読まずにコメント
    • by Anonymous Coward on 2005年07月11日 17時25分 (#765468)
      色々ジレンマがあるのでしょう。

      ・人を増やすとセキュリティは低下する
      ・セキュリティ対策は「敷居を下げた」と言えるほど作業粒度が小さくならない

      # タレコミ文すら読まずにコメント
      親コメント
  • 日本だと (スコア:1, 興味深い)

    by Anonymous Coward on 2005年07月11日 12時09分 (#765392)
    学生にもっと積極的に参加して欲しいと思いますね、
    学生の頃からある程度の責任ある仕事を任せられることと
    ボランティアで社会貢献することの意義を考えるには
    良い経験になると思います。

    私も学生の頃にこのようなコミュニティがあれば参加してみたかったです、
    私が学生の頃やっていたボランティアは、
    地域の福祉関係のボランティアでした、
    かなり年配の方が多くて学生には責任ある仕事が
    任せることは少なくて残念に思ったものでした。

    学校で勉強することは進学や進級・卒業の為にやってると考える人がいるとすれば
    社会でその勉強の内容を活用するような仕事には100%つかないと思いますし
    ダラダラとした現状を打破したいとすれば、このようなコミュニティに参加することで
    社会全体の中での自分の価値を高める(価値を見出す)ことができて
    良い大人になる為のきっかけになると思いますよ。
    • by Elbereth (17793) on 2005年07月11日 19時12分 (#765503)
      少なくとも現状では、学生にオープンソースのプロジェクトへの
      ボランティア参加をさせるってのは、それこそ福祉関係で責任のある
      仕事をさせてもらえることが少なかったというのと同様なものに
      なるんじゃないでしょうか。
      いきなりコミッターやらせるとかソフトの管理とかみたいのは論外。
      コード書かせるのもかなり難度が高い。

      ドキュメントの日本語化みたいなのはうってつけかも知れませんね。
      あとはバグ報告程度とか?

      すご腕の学生ハッカーならそれこそ自分で何かやってるだろうから
      ボランティアで勉強してどうのこうのなんて言わなくていいでしょう。

      あとどうでもいいけど、福祉関係のボランティアみたいな
      地域社会への貢献は理解されやすいでしょうが、OSSみたいに
      実体がなかなか見えにくい活動についてのボランティアだと
      理解できない人が多いと思います。残念ながら。
      親コメント
    • by Anonymous Coward
      個人的にはボランティアによる社会貢献よりも
      ビジネス感覚を身につけて欲しいです。
      お金の流れとかを社会に出てから意識するのでは遅すぎる。
      • 私はボランティアによる社会貢献とビジネス感覚を身につけることは両立すると思います。また、ボランティアによる社会貢献をしていても社会に出る前にお金の流れを意識することはできると思います。
        --
        屍体メモ [windy.cx]
        親コメント
      • by Anonymous Coward
        >お金の流れとかを社会に出てから意識するのでは遅すぎる
        なぜ?
        社会に出たての新人君にそんなことを意識しなければならないような仕事を任せるのですか?
        贔屓目にみても、先輩・上司の逃げ口上にしか感じないのだが・・・

        ボランティ
        • by Anonymous Coward
          意識させる=任せるという短絡さも相当おかしいですが、なぜ任せる/任せないという二値にしたがるのでしょうか?
          というか、企業に属して働く人間がお金の流れを意識できない時点で終わっとるよ。

          >自分の価値観が全て無
    • by Anonymous Coward
      俺たちはボランティアやってるんだからお前らも協力しろ、企業もサポートしろ、っていうのを
      ボランティアと言い切っていいのかどうか迷うところです。
      起動ログイン時に企業広告を出すぐらいのメリットがないと。
      • by Anonymous Coward
        >俺たちはボランティアやってるんだからお前らも協力しろ、企業もサポートしろ

        「現在利用している人、現在利用している企業で手伝える人はもういないの?」って話では?
        (広告なんてつけなくても、すでにメリットを受けている企業もあるのでは?)
    • by Anonymous Coward
      ボランティアは自発的意思に基づくもので、やれと
      いわれてやるようなものではないと思いますが。
      そうしてまでやらせたいのなら、ボランティアを
      国民の義務でもすればいいでしょう。
      オープンソースの精神はどっかに行きますが。
      • by yusasa (1159) on 2005年07月12日 0時05分 (#765607)
        > ボランティアを国民の義務でもすればいいでしょう

        その時点で「ボランティア」ではないですね。
        --
        "Patriotism is the last refuge of a scoundrel." - Samuel Johnson
        親コメント
  • by Anonymous Coward on 2005年07月11日 12時22分 (#765394)
    6月の出来事はみんなが考えているような人手不足という問題ではなく、Sargeリリース開始という非常時の態勢を整えることが出来なかった、というのが正しい認識の仕方だろう。こんな批判が来るのも、それだけ認知度が上がったということか。Debianだけに2年か3年先になるだろう次のリリース時には体制を整えてから挑むことというのが今回の教訓。Debianのリリース周期は長いので体制の立て直しには十分に時間があるので問題はないだろう。
    • >6月の出来事はみんなが考えているような人手不足という問題ではなく、
      >Sargeリリース開始という非常時の態勢を整えることが出来なかった

      いや、だから人手が潤沢でない(あるいは適切に配分できていなかった)ということでは。

      >Debianのリリース周期は長いので体制の立て直しには十分に時間があるので問題はないだろう。

      といってる間に次のリリースが来るんですよねぇ。
      親コメント
    • 営利企業は資金がショートして潰れる。
      ボランティアプロジェクトは人材がショートして潰れる。

      持続できないということは、組織のあり方に無理があったということだ。

      リリースとか、円高とか、えてして last straw に過ぎないんじゃないか。
      親コメント
  • by Anonymous Coward on 2005年07月11日 15時38分 (#765437)
    ヒロフがセキュリティチームに入ったら、皆様はどのような反応をするのでしょうか?

    #マイナスモデ必至なのでAC
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...