Debianセキュリティチームが人材不足 73
ストーリー by Oliver
特定少数にしかかる重大な責任 部門より
特定少数にしかかる重大な責任 部門より
戸高芳広 曰く、 "ZDnetUKとZDnetAustraliaが伝える所によれば、現在Debianのセキュリティチームの人材不足が原因でセキュリティのアップデートが遅れつつあるとの事だ。 ZDnetAustraliaによると、Debianのセキュリティ設備に問題があった6月に発見されたSpamAssassinの脆弱性の為のアップデートはFedoraが6月16日にリリースしたのに対し、Debianは7月1日のリリースになってしまったとの事だ。
Debian Project Leader Reportでは、セキュリティチームの人材を増やす等して、このような事が起こらないようにしていくとしている。"
穴 (スコア:3, おもしろおかしい)
まさか… (スコア:3, 興味深い)
# 消息を断った面子がUbuntu Foundationに雇われていたという
# 「オチ」がついてるのでややこしいことになってるのですが(;´Д`)
Re:まさか… (スコア:2, 参考になる)
でも今回のはインフラストラクチャ問題のほうが大きいですけど(究極的には人手不足が原因、というのは外れてないか)
バージョン上げた方が早いってこと? (スコア:1)
ポリシーなのが問題なのかなぁ(そんなことやってたら何人いても人手不足)、と
思ったのですが、どうなんでしょうね。
それは Ubuntu が生まれた要因でもあるはずなので、Ubuntu に Debian 全員が
移動するか、Debian が早くアップデートするようになるかすれば解決する、かも???
#deb 系を使ったことがない部外者なので、すべて憶測です。
Re:バージョン上げた方が早いってこと? (スコア:3, 参考になる)
> パッチを当てる」というポリシー
Debianに限らず、商用ディストリビューション(RHELやSuSE)も
も同様のポリシーです。商用ディストリビューションは、
商用ソフトウェアの動作プラットフォームでもあるため、
一部ソフトウェアのバージョンを変更するすることは基本的
に許されません。
フリーなDebianはそのような制約はないものの、一部ソフト
ウェアをアップデートするために依存する別のソフト
ウェアも強制的にアップデートさせる可能性があること
は望ましくない、という判断なのでしょう。一部のユーザの間
では悪名高くなりつつあるポリシーであることは確かです。
足並みをそろえてのリリースにさよならを (スコア:1)
パッケージプールの管理の仕方は今までのままでいいので、Debian Web Server Package Setとか Debian Office Worker Package Setとかそんな感じでパッケージのグループを定義して、それぞれのグループの中で足並みがそろえば当該グループに関してはリリースする、みたいなのでどうでしょうか?もちろん important なパッケージは全部のグループに属するでしょうし、特定のグループにしか属さないパッケージもあるでしょう。
もちろん派生は今後も出現しつづけるでしょうが、それは Debian ベースというよりは Debian Office Worker Package Set ベースで、とかそんな感じで出ればいいかな、と。
屍体メモ [windy.cx]
Re:まさか… (スコア:1)
Re:まさか… (スコア:0)
naturelinuxなど、セキュリティを謳い文句にしてたけど。
Re:まさか… (スコア:0)
Re:まさか… (スコア:0)
Re:まさか… (スコア:0)
Debian、Red Hat、Slackware、Gentooのどれだ、言われればRed Hat系じゃないのかなあ。
# あまのじゃく
人材不足解消より (スコア:2, おもしろおかしい)
Debianのウェブページのニュース (スコア:2, 参考になる)
Debian本家のウェブページの最新のニュースに、 Debian Security Support in Place [debian.org]とあります。 次のように書かれています。
適当に訳すと:
ということで、やや古めの情報ではないでしょうか。 どちらにしろコミュニティベースの世界がマンパワー不足というのは確かだと思いますが……。
# 元ネタは当たっていないのですが。
Re:Debianのウェブページのニュース (スコア:2, 参考になる)
まとめると
・確かにセキュリティのインフラ(アップデートパッケージの作成部分)に問題があった
・でもそれは改善されている(怒涛のように DSA でまくり)
・人手不足は事実。これは Javier Fernández-Sanguino Peña が debconf3 で言っていたこと [debian.org] なので、いい加減改善してないのは怠慢ではないかなー
ってことで。
Re:Debianのウェブページのニュース (スコア:2, 参考になる)
There have been technical failures and communication failures,
端的にこのように述べています。後者の問題が前者に拍車をかけたとも言っています。
Sargeリリースの前後に急にアップデートが滞ったような状況になったので、慢性的な(そして深刻な)人材不足というより、インフラ移行でミスした、と言うのが主な原因のようです。
企業のサポートがボランティアベースの活動には不可欠 (スコア:1, 興味深い)
対Fedoraで考えると、FedoraがRed Hatのサポートを受け、そのリソースを使えるのに対して、純ボランティアベースのDebianは基盤が脆弱ということでしょうか。他のボランティアベースのディストリ(Gentooとか?)は、どういう体制作りをしているんでしょう。
ただ、いくら基盤を確保するからといって、プロジェクトが一定期間開発者を拘束するといったことは出来ないでしょう。辞めたいときに辞められないプロジェクトなんて、多分、すぐに飽きられる。
バザール開発方式の神話 (スコア:2, すばらしい洞察)
オープンソースでバザール方式で開発していれば, 多くの人の目にさらされるから問題点はすぐに修正される, なんてことが言われていましたが, 実際にはそうではなかったということでしょうか.
元もと, この説には人材が無限に存在するという無茶な前提が有ったわけですけど, セキュリティを取り扱う程度の技量を持った人って, 神学生なみに少ないんじゃないですかね.
Re:バザール開発方式の神話 (スコア:1, おもしろおかしい)
少ないでしょうね。
さらに時間が余っているという条件で少なくなり、
さらに無料で作業してくれるという条件で・・・。
Re:バザール開発方式の神話 (スコア:1, 興味深い)
問題点そのものの把握は済んでいるんですよ。それについて手を動かす人が居なかった、と。また、今回はDebianの問題であって、他のディストリでは、解決していたわけだから。
オープンソース一般論じゃなくて、個別の組織論として解決するのが良い方向では?
Re:バザール開発方式の神話 (スコア:0)
>問題点そのものの把握は済んでいるんですよ。それについて手を動かす人が居なかった、と。また、今回はDebianの問題であって、他のディストリでは、解決
Re:バザール開発方式の神話 (スコア:1, 参考になる)
本当のところは、そういう人材は就職口にも困らないから(だからこそ人気のあるトピックなわけで)、わざわざボランティア、ヲープンソースなんかで活動する動機も必要性もないというだけ。
Re:バザール開発方式の神話 (スコア:1)
>昨今では人気もあるトピックだから、きっちりと勉強した学生たちが
>MS、PhDともにたくさん学校から出てきてる。
実際のところ、現在セキュリティ関連の教育をまともに受けた学生は
毎年どれくらい輩出されているんですかね。
スラドに聞け! の「今年の新人は使えますか?」 [srad.jp]での情報によると
セキュリティどころか普通の業務ができるレベルでも
かなりお寒い状況みたいなんですけどね。
>/.Jでだってきちんとした研究論文を発表したこともない、
>怪しげな自称「セキュリティ専門家」が徘徊してるのを見れば、
>セキュリティの人気の高さの察しもつくでしょ。
スラドの話になると何か急にネガティブイメージになりますね。
まぁホンモノの専門家となると、毎日忙しくてスラドなんかに
書いてるヒマなんてないと思いますけどね。
>本当のところは、そういう人材は就職口にも困らないから
>(だからこそ人気のあるトピックなわけで)、わざわざボランティア、
>ヲープンソースなんかで活動する動機も必要性もないというだけ。
別にオープンソースだから全てボランティアというわけでもないですよね。
給料もらってコード書いたりプロジェクト管理したりしている人はいるでしょう。
好きだからってんでやってるボランティアの人に全ておんぶにだっこと
いうのは、これからは無理があるというのは確かでしょうけども。
Re:バザール開発方式の神話 (スコア:0)
どれくらいいるんでしょうな。
ボランティアじゃ、いざというとき弱いし・・・。
Re:バザール開発方式の神話 (スコア:1)
(Googleですら見つからなかった)、それをかけて飯が食えるやつは
どこかにいるんじゃないかな。
貧乏学生だった頃はソースとマヨネーズをかけたごはんで
しのいだことあるよ。
Re:バザール開発方式の神話 (スコア:0)
Re:バザール開発方式の神話 (スコア:1, すばらしい洞察)
オープンソースである以上、勝手にフォークして問題が解消されたバージョンのコードを作ることはできるんだけど、それは望ましい姿じゃない気もするし。
Re:バザール開発方式の神話 (スコア:1)
「あるパッチを別のバージョンのソースに当てたときにrejectされた部分を手で修正できる程度の技量」ですむようなきがするがそんなもんではない?
そら少ないだろ (スコア:1, 興味深い)
どうしても自分主導での新機能の作成なんかと違って趣味性も低いし当然モチベーションも低いでしょう。
だからこそ、こういうのは企業が手を入れてくれると良いんだけどね。
企業であればセキュリティ向上を売りとして他で稼ぐことが出来るから、一般人よりはモチベーションを保ち易いと思うのだけど。
Re:企業のサポートがボランティアベースの活動には不 (スコア:0)
企業というよりは、より簡潔に「資源(資金)」でしょう。
確かに企業という特効薬があればリスクという病原体に勝ち抜くための栄養(リソース)が得られます。ですが、オープンソースの良いところも悪いところもきちんと理解した企業でないと、むしろその薬の副作用が強力に現われてしまうことになりかねません。
具体的な副作用はいろいろありますが、出資企業が我が儘な会社の場合それに振り回されたりすることが多
特定少数にしかかる重大な責任 (スコア:1, すばらしい洞察)
その状況を打開するためには主に二つの方法(人を増やす、作業をルーチン化して敷居を下げる)があるわけです。
Debian位のプロジェクトならばある程度まとまった額の企業からの寄付もあり、両方の策を取れると思っていましたが…。
今現在、フルタイムでセキュリティにあたってる人はほとんど居ないんでしょうか?
# タレコミ文2行ぐらいしか読まずにコメント
Re:特定少数にしかかる重大な責任 (スコア:1, すばらしい洞察)
・人を増やすとセキュリティは低下する
・セキュリティ対策は「敷居を下げた」と言えるほど作業粒度が小さくならない
# タレコミ文すら読まずにコメント
日本だと (スコア:1, 興味深い)
学生の頃からある程度の責任ある仕事を任せられることと
ボランティアで社会貢献することの意義を考えるには
良い経験になると思います。
私も学生の頃にこのようなコミュニティがあれば参加してみたかったです、
私が学生の頃やっていたボランティアは、
地域の福祉関係のボランティアでした、
かなり年配の方が多くて学生には責任ある仕事が
任せることは少なくて残念に思ったものでした。
学校で勉強することは進学や進級・卒業の為にやってると考える人がいるとすれば
社会でその勉強の内容を活用するような仕事には100%つかないと思いますし
ダラダラとした現状を打破したいとすれば、このようなコミュニティに参加することで
社会全体の中での自分の価値を高める(価値を見出す)ことができて
良い大人になる為のきっかけになると思いますよ。
Re:日本だと (スコア:1)
ボランティア参加をさせるってのは、それこそ福祉関係で責任のある
仕事をさせてもらえることが少なかったというのと同様なものに
なるんじゃないでしょうか。
いきなりコミッターやらせるとかソフトの管理とかみたいのは論外。
コード書かせるのもかなり難度が高い。
ドキュメントの日本語化みたいなのはうってつけかも知れませんね。
あとはバグ報告程度とか?
すご腕の学生ハッカーならそれこそ自分で何かやってるだろうから
ボランティアで勉強してどうのこうのなんて言わなくていいでしょう。
あとどうでもいいけど、福祉関係のボランティアみたいな
地域社会への貢献は理解されやすいでしょうが、OSSみたいに
実体がなかなか見えにくい活動についてのボランティアだと
理解できない人が多いと思います。残念ながら。
Re:日本だと (スコア:0)
ビジネス感覚を身につけて欲しいです。
お金の流れとかを社会に出てから意識するのでは遅すぎる。
ボランティアによる社会貢献≠ビジネス感覚? (スコア:1)
屍体メモ [windy.cx]
Re:日本だと (スコア:0)
なぜ?
社会に出たての新人君にそんなことを意識しなければならないような仕事を任せるのですか?
贔屓目にみても、先輩・上司の逃げ口上にしか感じないのだが・・・
ボランティ
Re:日本だと (スコア:0)
というか、企業に属して働く人間がお金の流れを意識できない時点で終わっとるよ。
>自分の価値観が全て無
Re:日本だと (スコア:0)
ボランティアと言い切っていいのかどうか迷うところです。
起動ログイン時に企業広告を出すぐらいのメリットがないと。
Re:日本だと (スコア:0)
「現在利用している人、現在利用している企業で手伝える人はもういないの?」って話では?
(広告なんてつけなくても、すでにメリットを受けている企業もあるのでは?)
Re:日本だと (スコア:1)
メリットに対する代価を払わずに済むからオープンソースを使う。
そういう面もありそう。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:日本だと (スコア:0)
いわれてやるようなものではないと思いますが。
そうしてまでやらせたいのなら、ボランティアを
国民の義務でもすればいいでしょう。
オープンソースの精神はどっかに行きますが。
Re:日本だと (スコア:1)
その時点で「ボランティア」ではないですね。
"Patriotism is the last refuge of a scoundrel." - Samuel Johnson
6月はSargeのリリースで手が回らなかった (スコア:1, すばらしい洞察)
Re:6月はSargeのリリースで手が回らなかった (スコア:1)
>Sargeリリース開始という非常時の態勢を整えることが出来なかった
いや、だから人手が潤沢でない(あるいは適切に配分できていなかった)ということでは。
>Debianのリリース周期は長いので体制の立て直しには十分に時間があるので問題はないだろう。
といってる間に次のリリースが来るんですよねぇ。
Re:6月はSargeのリリースで手が回らなかった (スコア:1)
ボランティアプロジェクトは人材がショートして潰れる。
持続できないということは、組織のあり方に無理があったということだ。
リリースとか、円高とか、えてして last straw に過ぎないんじゃないか。
やや不謹慎なコメント (スコア:0)
#マイナスモデ必至なのでAC
Re:やや不謹慎なコメント (スコア:0)
(;゚Д゚) ウッ (スコア:0)
じゃ、 (スコア:1)
Re:新ディストリビューション (スコア:1)
面子の変更としては、MadrakeとConectivaがMandrivaになったくらいか。