アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
発生しにくい? (スコア:1, 興味深い)
発生し難い点はあるだろうけど、オープンソースもっとも良い点は、発生しても直ぐにパッチが作りやすい点の方ではないでしょうか?
ソースが公開されているからといって必ずしも、パッチが直ぐに作ってくれるとはかぎりませんが。
この点が、Mozilla などはどうなんでしょうか?
と聞いてみちゃったりなんかして。
By シャム
Re:発生しにくい? (スコア:4, 参考になる)
公開されているので、
1)そういった問題があることを誰かが発見し
2)それw mozilla.orgへ誰かが報告し
3)誰かが対策のためのコードを書き
4)十分にテストされ
5)該当する部分のモジュールオーナがコードを
取り込む事を判断し
6)レビュワー達が認めれば
CVSツリーにそのコードは取り込まれ、自然に
翌日には対策済みのビルドが公開されます。
(もしかしたらレビューフローがまた変わっているかも)
ただ、現在の最新 milestone buildsである 0.9.5 に
対して back port し 0.9.5.1 などを公開することは
99.9%ありません。 もしも今日そういった問題が
見つかった場合、既に branchしている 0.9.6 の
枝に対策が施されるかどうかは微妙かもしれません。
(たぶんスケジュールを2~3日遅らせてでも
取り込むとは思いますが)
Re:発生しにくい? (スコア:0)
書く技術はさておき、対象が特定モジュールだけに
閉じている修正ならば取り込みにかかわるフローも
割とスムースに行くだろうけど、広い範囲に影響する
場合は比較的時間がかかる可能性はあるかも。
とはいえ、修
mozilla.org におけるセキュリティ問題の扱いについて (スコア:1, 参考になる)
修正レポートやパッチ自体は Bugzillaにあがるだろう
けど、それはすぐに公表されるのかなと思って調べたら
"Handling Mozilla Security Bugs" という文書が
見つかった。
http://www.mozilla.org/projects/security/security-bugs-policy.html
長い英文でよく分からん (^^; ので各自で見て欲しい。
(んで、わしの解釈に間違いがあったら指摘してほしい)
どうやらmozilla.orgにはセキュリティに注力する
チームがあって、Bugzillaへ報告されたセキュリティ
問題のレポートは最初のうちはそのチームと報告者のみが
参照できるようになっているらしい。(つまりは
隠される。)
ただし、その隠蔽期間は特に定めてないが、意味もなく
長期間隠蔽する事はさすがに禁止されていて公開する
義務が課せられているようだ。
またそのバグレポートをセキュリティチーム以外にも
公開するかどうかのフラグ設定の権利は、セキュリティ
チームだけでなく報告者自身も所有するらしい。
だから報告者が「早急に公開を」と考えれば
即公開も可能(だと思うがあっているか? ^^;)
他にも、バグ扱いの考えかたや組織構造、組織の
役割や情報開示の考え方などについて書いてある
ので英文に堪能な人は見て内容を教えて欲しい(爆
Re:発生しにくい? (スコア:1)