アカウント名:
パスワード:
アーカイブはこの侵害を受けていない
上記を,外部の人間はどのようにすれば確認できるのでしょうか? 声明だけだと,信じる・信じないの不毛な議論になりそうな気がします.
一度も署名確認失敗したこと無いのでアレですけど、apt-get で取ってくるものは自動で署名を検証するようになっているはずなので、心配はいらないでしょう。また報告メールの署名で、この報告がかなりの確率で本人の物であろうと判断できます。
情報源のMailing listを落としているのが痛いですね。 脆弱性がソフトウェアに有ったのか、運用体制に有ったのかが未だに分からない。
外部の人間はどのようにすれば確認できるのでしょうか?
ソースを読めば問題のあるコードが含まれていないかわかります。というのがオープンソースのメリットらしいです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
どうやって確認する? (スコア:2, 興味深い)
上記を,外部の人間はどのようにすれば確認できるのでしょうか? 声明だけだと,信じる・信じないの不毛な議論になりそうな気がします.
Koichi
Re:どうやって確認する? (スコア:5, 参考になる)
今回は、.dsc, .changesの電子署名を全て検証して、アーカイブのファイルのmd5sumがその中に記録されている値と同一かチェックされました。
このチェックはその気になれば外部の人間でもできます。
Re:どうやって確認する? (スコア:0)
パッケージが改竄されていなかったのは喜ばしいことかもしれないけれど、
管理上のミスなのか、システムのバグなのかも不明なのに、完全に手放しでは喜べないな。
Re:どうやって確認する? (スコア:4, 参考になる)
一度も署名確認失敗したこと無いのでアレですけど、apt-get で取ってくるものは自動で署名を検証するようになっているはずなので、心配はいらないでしょう。また報告メールの署名で、この報告がかなりの確率で本人の物であろうと判断できます。
情報源のMailing listを落としているのが痛いですね。 脆弱性がソフトウェアに有ったのか、運用体制に有ったのかが未だに分からない。
Re:どうやって確認する? (スコア:0)
ソースを読めば問題のあるコードが含まれていないかわかります。というのがオープンソースのメリットらしいです。