BSD-annexの日記: FreeBSD: ports における delegate の話題
cvs-all ML
cvs-all ML
ports の delegate の Makefile の中にある警告文を修正するにあたり、 以下のような議論がなされたようだ。
Kris Kennaway :
以前このツールを検査し、セキュリティ警告を付け加えた時に、 根本的に delegate は安全性に 欠けるものであり、いくつかのパッチで修正できるものではないと 結論づけた。どうして、今回、これを変更するのか。 誰か新しいソフトが正しいことを検査したのか。Clement LAFORET :
検査したのはどの版だったのか。8.x での変更でプロトコルの実現 における安全性の欠落の多くは修正されている。 警告文は4年前のものであり、現在では設定間違いさえしなければ 危険はほとんどないと思うので、警告をはずすことは問題ない と思う。 もしあなたがこのソフトをその設計コンセプトからして危険だと 考えるなら、警告文は再び付け加えよう。 しかしそれなら同じ警告文を sendmail や bind やその他の 設計概念上の問題から起因するアドバイザリを受けているツールに 付け加えないのは何故なのか。Kris Kennaway :
安全なコードを書くということも知らない者によって それらが書かれていると言っているのではない。 文字通り数百以上の欠陥がこのソフトにあるから、 根本からして安全ではないと言っているのだ。 特殊なケースのいくつかはアドバイザリとなり修正されたが、 ツールの全体を修正すべきだということは、異常なくらい 多くの証明を必要として不可能だ。Clement LAFORET :
警告文は復活させた。Kris Kennaway :
私も以前試みたが、システム的な危険性にもかかわらず、 このツールを使い続けたいという忠誠を誓うユーザグループが いるようだ。
FreeBSD: ports における delegate の話題 More ログイン