2009-04-29
All-Hands Meeting 2009
今週はMozilla関連のニュースが少ない。Firefoxのリリースが続いたので一見多いように思うかもしれないが、それは成果物であって、本当に大事なのは開発状況がどうかということ。Mozillaは開発プロセスもオープンにしているので、Mozilla Wikiやニュースグループ、開発者個人のブログ記事などを通じて開発の進み具合や新しいアイデアなどが次々と披露されていく。今、それが停滞中なのだ。
「All-Hands Meeting 2009」といういわばMozilla関係者の総会が開かれているのが原因である。Flickrの集合写真には大勢の参加者が写っている。数え切れないが、200人以上はいそうだ。別の写真のキャプションによると、カリフォルニア州マウンテンビューにあるComputer History Museumが会場だという。マウンテンビューはMozilla Corporationがある場所なので、社員の移動は楽だろうが、おそらく世界のあちこちから開発者たちがここに足を運んでいる。
この総会で何が話し合われたのかはおいおい明らかになっていくはずだ。Firefoxに関しては、間違いなくFirefox.nextのグランドデザインが話題に上っている。どういうアプリケーションにするか、ビジョンを共有しようとしているだろう。メール、IRC、Skypeなど遠隔地との通信手段には事欠かないが、対面して話し合うことで理解が深まる点も当然ある。
総会の余波で、通常のミーティングはほとんどキャンセルされてしまった。FirefoxもThunderbirdも今週は報告なしだ。また、Firefox 3.5は、Beta 4のリリース直前にパッチのチェックインが制限されていたのだが、解除されたとたんにこの総会とぶつかり、ほとんど開発が進んでいない。総会は現地時間で29日まで続くようなので、本格的な再開はそれからということになりそうだ。
ちなみに、「もずはっく日記」の『今年は豚インフルエンザ』で暗に言及しているのもこの総会。昨年はカナダのWhistlerで総会を開いたら、崖崩れで道路が塞がれて帰れなくなるというハプニングがあった。今年は豚インフルエンザ? 予期せぬことが続きますね、という話。ジョークだと思うが、一読して笑うにはかなり予備知識がいる。
(09/05/03追記)
『Poetry & Pragmatics: Mozilla All Hands 2009』によると、参加者は約250人。ちなみに、2年前は100人程度だったという。
Permalink | コメント(0) | トラックバック(0) | 15:07 
セキュリティ問題を測る3つの要素
Mozillaのセキュリティチームに所属するJohnathan Nightingale氏いわく、セキュリティ問題を測るうえで欠かせない3つの要素があるという(『Measure What Matters - The SEC Essentials』)。Severity(深刻さ)、Exposure Window(露出期間)そしてComplete Disclosure(情報開示)だ。頭文字を取ってSECと呼ぶ。セキュリティホールの数がそこに含まれていないことに注意してほしい。
Severity(深刻さ)は、そのセキュリティホールが自動的に悪用されるものかどうかという基準である。ユーザーにとってたんに迷惑であるとか、ユーザーが攻撃者に手を貸さないと成立しないセキュリティホールであれば、自動的に悪用されるケースよりは深刻さが低くなる。
Exposure Window(露出期間)は、それぞれのセキュリティホールがどの程度の期間ユーザーを危険に曝したのかを問題にする。数が多くてもすべて短期間のうちに修正されるのであれば、ユーザーにとっての危険度はぐっと下がる。
Complete Disclosure(情報開示)で重要なのは、ベンダーが外部の者から報告されたセキュリティホールに限らず、内部で発見したものも開示すること。外部から報告されたものに限ってしまえば公表されるセキュリティホールの数は減少するが、それはユーザーにとっては無意味だ。実際に悪用可能な穴が少ないことを何ら意味しないのだから。こうした態度を許せば、内部に強力なセキュリティチームを作ろうという意欲が失われ、受動的な対応に終始するベンダーも出てくるだろう。
このようにMozillaがSECを強調するのは、製品(とくにFirefox)に自信があるからに他ならない。セキュリティホールの報告数がFirefoxよりも少ないからといって、深刻なものの数まで少ないとは限らないので、そのWebブラウザが安全かどうかは別問題だ。Mozillaは短期間のうちにセキュリティリリースを提供できる能力を備えているし、現に提供している。最近ではFirefox 3.0.8がその例である。また、内部外部を問わず、発見されたセキュリティホールはきちんと公開している(セキュリティアドバイザリ参照)。
SECを踏まえた分かりやすい指標はまだないが、セキュリティ問題を扱ったニュースに触れる際、この3つの要素を念頭に置いておくと理解が深まるだろう。
Permalink | コメント(0) | トラックバック(0) | 11:17
