スポンサーサイト

■ スポンサー広告 Posted by ひぐま (Higmmer) on -------- at --:--:--
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Sage++ (Higmmer's Edition) 公開再開にあたって

■ 自作ソフト Posted by ひぐま (Higmmer) on 2007-07-01 at 19:00:00

◆共有テーマ: Firefox [コンピュータ]

本年2月4日を以て公開停止状態となっておりましたSage++ (Higmmer's Edition)ですが、諸事情を考慮して明日より公開を再開させて頂くことに致しました。今回のバージョンでは一部セキュリティ対策が強化されたほか、フィード解析処理の改善、自動更新チェックの高速化、Yahoo!ブックマークとの連携機能、自動アップデートへの対応など大幅な変更が加えられております。主に自分が欲しい機能を追加していっただけの代物ですが、それでも必要とする方がいれば使って頂ければなと思っております。特に現在Sageユーザーの方ならきっと損はしないはずです。

さて、この再公開にあたっては前回の脆弱性問題の時と同じ過ちを繰り返さないようにしなければならないと考えております。その為には新たな脆弱性の報告又は通知を受けた際の対応方針を明確化しておく必要があります。それに関連して先ごろIPAより重要な発表がありました。

この報告書本編のp.33に以下のような記述があります。

5.1.製品脆弱性対策管理者の登録簡易化に関する検討

(中略)

このような現状を踏まえ、速やかな脆弱性関連情報の提供を実現すべく、研究会での討議を経て、2007 年4 月から登録のしくみを改めることとなった。具体的には、簡易登録枠を新設したこと(表 5-1参照)と、効率化のため登記簿謄本の提出を廃止したことである。

情報システム等の脆弱性情報の取扱いに関する研究会 - 2006年度 報告書 - (p.33)

従来JPCERT/CCから脆弱性情報の通知を受けるには開発者の住所・氏名・電話番号等の個人情報を登録する必要があり、私がそれを拒否したことが前回問題の発端でした。その一件が多少なりとも影響したのかどうかは定かではありませんが、新たに簡易登録枠というものが新設され、氏名とメールアドレスのみでの登録が可能となった模様です。更に(個人を特定できる程度の)仮名での登録も可能とのこと。

この制度変更により私のようなケースでも脆弱性情報の提供を受けてソフトを修正することが可能になるのではないかと期待しております。但しひとつ気になるのは提供可能な情報の中から「複数の開発者に影響が及ぶ情報」が省略されていることです。言うまでもなくSage++はSageを元にした改造版ですから、複数の開発者に影響が及ぶことは明らかです。さて、この場合はどのような扱いになるのでしょう??

当然ながら私としては何とか情報提供して頂けるようJPCERT/CCに対して最大限交渉する所存ですが、最悪の場合私には脆弱性情報が回ってこないことも考えられます。従いまして、もし今後Sage/Sage++の双方に関わる新たな脆弱性を発見された方がおられましたら、できればIPAへの届出と共に私にもご一報頂ければ幸いです。(下線部修正: 7/2)

但し!報告/通知を受けたからといって必ずしも100%対応するという保証はできないということはご承知下さい。本来Sage++は自分が使うために開発(改造)したソフトである以上、自分が気になるバグや脆弱性があれば修正するでしょうし、そうでなければ放置するかも知れません。このことが受け容れない方はSage++のことは綺麗さっぱり忘れて下さい。ただひとつだけ言わせて頂くならば、私は今でもSage++の最大のヘビーユーザーであり、その脆弱性については誰よりも気にしてきたという自負はあります。それをどう判断するかについては皆さんにお任せしたいと思います。

Have Fun!

Sage++ (Higmmer's Edition)の新しい公開ページは こちら です

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

PageTop▲

コメント

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。