BUGTRAQ-JP

BugTraqは完全な情報公開であり、モデレータ制を採り、綿密な論述とコンピュータセキュリティに関する脆弱性のアナウンス を目的としたメイリングリストです。論述とアナウンスには脆弱性の発見と修復方法についての方法を含みます。

0 まずはじめに

0.1 憲章

0.1.1 BUGTRAQ-JPとは何ですか?
0.1.2 「ふさわしい内容」とは何ですか?
0.1.3 「ふさわしくない内容」とは何ですか?
0.1.4 このメイリングリストはモデレータ制(moderated)ですか?
0.1.5 だれがモデレータを務めているのですか?
0.1.6 「フルディスクロージャ」とは何を意味しますか?
0.1.7 「不明瞭なセキュリティ」とは何ですか?
0.1.8 何が「セキュリティに関わる脆弱性を報告するための適当なプロトコール」ですか?
0.1.9 脆弱性の報告には何を含んでいるべきですか?

0.2 歴史
0.2.1 いつBUGTRAQが始まったのですか?
0.2.2 いつからBUGTRAQではモデレータ制度が採られていますか?

0.3 リストの管理
0.3.1 どのようにすれば参加できますか?
0.3.2 どのようにすれば脱退できますか?
0.3.3 どのようにすれば一時的にメイルの配信を止められますか?
0.3.4 まとめ送りでリストからメイルを受け取れますか?
0.3.5 どのようにすればまとめ送りでメールを受け取れますか?
0.3.6 どのようにすればまとめ送りを止められますか?
0.3.7 どうやら脱退できていないようです。何が起きていますか?
0.3.8 "[BUGTRAQ-JP]"というタグ文字列をメールのSubject行に含めて配送可能ですか?


0 まずはじめに
0.1 憲章
0.1.1 BugTraqとは何ですか?

BugTraqは完全な情報公開であり、モデレータ制を採り、綿密な論述とコンピュータセキュリティに関する脆弱性のアナウンス を目的としたメイリングリストです。論述とアナウンスには脆弱性の発見と修復方法についての方法を含みます。

0.1.2 何が「ふさわしい内容」ですか?

後述するBugTraqメイリングリストに投稿されるべき情報の質についてのガイドラインに従ってください。

0.1.3 何が「ふさわしくない」内容ですか?

0.1.4 このメイリングリストはモデレータ制(moderated)ですか?

はい。

0.1.5 だれがモデレータを務めているのですか?

現在、BugTraqのモデレータはElias Levyが勤めています。日本語では三輪信雄(みわのぶお)にご連絡ください。代ってモデレータへ伝達します。 n-miwa@lac.co.jp宛てで連絡可能です。

0.1.6 「フルディスクロージャ」とは何を意味しますか?

「フルディスクロージャ」は以下に規範を置くセキュリティ哲学です。

  1. 真にセキュアなシステムはすべてのレベルにおいてオープンレビューに耐えねばならない。(例えばプロトコールレベル、ソースコードレベル等)
  2. 万人に対して、セキュリティ上の脆弱性についての詳細情報は利用可能であるべきである。

以下に示す利点があります。

  1. セキュリティ上の弱点について非常に多くの人がコンピュータシステムについてレビュー可能。
  2. ベンダに対してはセキュリティ対策を早期に提供させるための圧力となり得る。
  3. プログラマ、およびシステム設計者は他人の誤ちから学べられる。
  4. 利用者はシステム内の似通った脆弱性をオリジナルの脆弱性情報よりも明確化できる。
以下に示す反論があります。
  1. セキュリティ上の脆弱性を生産的な人々へ提供する、という事と同時に非生産的な人々へも情報を与えてしまう事になる。

0.1.7 「不明瞭なセキュリティ」とは何ですか?

「不明瞭なセキュリティ」とは以下に規範を置くセキュリティ哲学です。

  1. もしシステムの詳細が一般に利用できない場合、そのシステムはよりセキュアになる。
  2. 脆弱性の詳細はベンダや少数のセキュリティエキスパートへ限定して与えられるべきである。
0.1.8 何が「セキュリティに関わる脆弱性を報告するための適当なプロトコール」ですか?

以下の様なプロトコールが、セキュリティに関わる脆弱性を報告する場合において思慮の行き届いたプロトコールとみなされます。

  1. 製品ベンダあるいはメインテナーに連絡し、回答が返るまで1週間は待つことです。もし回答がない場合にはリストに投稿してください。
  2. なにか回答があった場合、脆弱な部分をベンダが対策するための十分な時間があるかをよく考えることです。これは脆弱性の状態と製品にに依存します。これはあなた自身が行うことで、あなたが見積もる事です。見積もった時間以内にベンダが回答しないのであれば、リストへ投稿しても構いません。
  3. もし、 さらに時間が必要であると感じた場合、良心に従い、自分自身で決めた投稿のデッドラインを繰り延べることです。もし、ベンダがその投稿のデッドラインまでに回答しないのであれば、リストへ投稿しても構いません。
ベンダへ連絡することなくリストへ投稿しても構わないのはどのような場合ですか?
  1. 製品がもはや積極的にサポートされていない場合。
  2. 脆弱性が重大であり、BugTraqコミュニティへできるだけ迅速に報告しないことが良い影響よりも、むしろ、悪影響をもたらすと考えた場合。

上記の事項は、BugTraqコミュニティ全体がどんな事情がベンダにあったとしてもリストにだけ脆弱性を報告しベンダへは報告しない人々で構成されているよりも、BugTraqがベンダ自身へも情報を与えることができる人々と共にありたい、という要望です。

0.1.9脆弱性の報告には何を含んでいるべきですか?

0.2 歴史
0.2.1いつBugTraqが始まったのですか?

BugTraqは1993年11月5日金曜日にScott Chasinにより始められ、1996年5月14日水曜日にAleph Oneに引き継がれました。以来BugTraqは27,000人を越える参加者を抱える注目を集めるセキュリティメイリングリストとして活動を重ねてきました。

0.2.2 いつからBugTraqではモデレータ制度が採られていますか?

BugTraqは1995年6月5日からモデレータ制度が採られています。同時にnetspace.orgへ移転しています。情報のノイズが我慢できない限度になったためモデレータ制度に移行しました。

0.3 リストの管理
0.3.1どのようにすれば参加できますか? 電子メイルを bugtraq-jp-subscribe@securityfocus.com へ、Subjectも本文も空のメールを送ってください。

このメイルを送ると参加確認のためのメイルが返送されます。

0.3.2 どのようにすれば脱退できますか? 電子メイルを bugtraq-jp-unsubscribe@securityfocus.com へ、参加した際に用いたアドレスからSubjectも本文も空のメールを送ってください。

このメイルを送ると参加確認のためのメイルが返送されます。

もし、既に登録時のアドレスが使用できなくなってしまった場合には、n-miwa@lac.co.jpへメイルを送ってください。手動で脱退処理を行います。

0.3.3 どのようにすれば一時的にメイルの配信を止められますか?

休暇等で一時的にメイルの配信を止めたい場合には、一度脱退処理を行って下さい。その後新たに登録処理をお願いします。

0.3.4 まとめ送りでリストからメイルを受け取れますか?

はい。まとめ送りはダイジェスト版として配送されます。

0.3.5 どのようにすればまとめ送りでメールを受け取れますか?

ダイジェストを受け取りたいアドレスから bugtraq-jp-digest-subscribe@securityfocus.com へ、Subjectも本文も空のメールを送ってください。


0.3.6 どのようにすればまとめ送りを止められますか?

ダイジェストを受け取りたいアドレスから bugtraq-jp-digest-unsubscribe@securityfocus.com へ、Subjectも本文も空のメールを送ってください。



0.3.7 どうやら脱退できていないようです。何が起きていますか?

現在使っているアドレスとは別のアドレスで登録されている可能性があります。登録したアドレスから脱退処理を行うか、モデレータであるn-miwa@lac.co.jpへ脱退したい旨を伝えてください。

0.3.8 "[BUGTRAQ-JP]"というタグ文字列をメールのSubject行に含めて配送可能ですか?

現在この方法はサポートされていません。

 


Privacy Statement
Copyright 2006, SecurityFocus