MicrosoftとNATO、ソースコード開示プログラムの契約を延長 6
ストーリー by hylom
読むのにもスキルが要りそうだが 部門より
読むのにもスキルが要りそうだが 部門より
あるAnonymous Coward 曰く、
米MicrosoftとNATOが、技術情報開示プログラム「Government Security Program(GSP)」の契約を延長したことを発表した。GSPは、Microsoft製品のソースコードなどの技術情報やサイバーセキュリティの脅威に関する新たな情報などを開示するプログラム。現在ではWindowsやOfficeといったMicrosoftの主要製品のソースコード、同社のクラウドサービスの情報、サイバーセキュリティの脅威に関する情報などを開示している。
NATOのNCI Agencyは発表文の中で、世界各地でますます危険になっている新たなサイバーセキュリティの脅威にNATO加盟国は直面していると述べ、各国の国民や経済に影響が及ぶ恐れがあるとしたうえで、こうした脅威を回避するためには、その情報を早い段階で迅速に共有することが重要だとの認識を示している(Microsoft、PCWorld、CIO、Slashdot)。
各国政府の機密管理は大丈夫か? (スコア:1)
政府に浸透している某国のスパイが盗み出すリスクが本気で心配なんだが。
# 日本がNATO加盟国じゃなくてちょっと安心
# え、ギリシャとかトルコとかも入ってるの??いっこも大西洋じゃないやん!
Jubilee
自分でビルド可能? (スコア:1)
ビルド済みのバイナリを安心して使うためには、
自分が信頼できるコンパイラで、マイクロソフト製品が使用してるビルド環境自体を構築し
その上でマイクロソフト製品を再度コンパイルして、
バイナリ一致する事を確認することが必要だと思うのですが、
この辺読むとその様なレベルである様には思えません。
https://www.microsoft.com/en-us/twc/government-security-program.aspx [microsoft.com]
実際には「たくさんお金払ってるから大丈夫」的な気休めなのでしょうか?
Re: (スコア:0)
(コンパイル)環境依存性の有るモジュールのためにVC6以前を稼働させてた、
みたいな話も聞くし一式自前でビルドするのはまず無理なんじゃないかと…
開発に参加せず一方的に降ってくるコードをチェックってだけでも面倒なのに、
Windowsとなればコードの量も尋常じゃないだろうからなぁ……
ビルド済みのバイナリを安心して使う(≒トロイの検出)は諦めたほうが良いかと。
心配な部分の脆弱性調査とかパッチの作成補助に使うのが落とし所じゃないかなぁ…
多くのモジュールは単品なら頑張ってビルドして差し替えも不可能じゃないだろうし、
ビルドできなくてもソースが有るなら構造の目星つけて逆汗パッチもやりやすいし。
NATO側の目的 (スコア:0)
「ん、この穴は使えるな」と確認するため。
実際にソース読んでるんですかね… (スコア:0)
たいとるおんりー
Re: (スコア:0)
「サイバーセキュリティの脅威に関する新たな情報」というのがあるから
例えば、未修正な脆弱性に関する情報とか暫定的なセキュリティパッチとか回避方法とかの情報を
入手するのが主目的なんじゃないか?