セキュリティに関する基準(試案) -- reimy

考え方の基本

  • PukiWikiはGPLに基づくオープンソースのアプリケーションである。
    • 設置者が自由に改変することが認められている。
    • 使用して発生した問題について、基本的には開発者がその責を負わない。
    • 基本的に、セキュリティに関する情報は公開されるべきである。
      • 但し、対策がとられるまでに問題点だけを無制限に公表することは、セキュリティ上、好ましくない。

セキュリティに関わる問題を発見した場合の措置

  • 発見者は速やかにその問題点をbugtrackで報告する。
    • 開発サイトのbugtrack以外では原則として公開しない。
    • プラグインに関しては、bugtrackでの報告と合わせて、プラグイン作者への報告も行なうのが望ましい。
  • 緊急度に応じて速やかに対策を講じるように努力する。
    • 開発者だけでなく参加者全員が、オープンソースの利点を活かして、対策を積極的にbugtrack上に提示するよう努力する。
    • 設置者は緊急度に応じて、暫定的な対策措置、問題のある機能の利用停止など、それぞれの自己責任で対策をとる。
    • 最適な解決策が決まれば、速やかに開発版(cvs)に反映する。
  • 開発版に反映された後、セキュリティに関する問題が発見されたこと、それに対する対策がなされたこと、モジュールのアップデートの必要性をアナウンスする。
    • 同時に複数のモジュールの変更を伴う対策が必要な場合は、セキュリティリリース版を公開する。
    • この時点で他サイトでの公表も認める。

補足

上記のことは、今回、新たに提案したということではなく、pukiwiki.org開設時から慣例的に行なわれてきたことをまとめたに過ぎない。

情報の透明性の確保、迅速な対応について、PukiWikiはこれまでも高く評価されている。

議論


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2012-08-13 (月) 19:57:34
Site admin: PukiWiki Development Team

PukiWiki 1.5.2+ © 2001-2019 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u7. HTML convert time: 0.453 sec.

OSDN