diff options
author | Thomas Lange <lange@debian.org> | 2022-07-18 20:39:26 +0200 |
---|---|---|
committer | Thomas Lange <lange@debian.org> | 2022-07-18 20:39:26 +0200 |
commit | 3a5c68f115956c48aa60c6aa793eb4d802665b23 (patch) | |
tree | 97ffc61f2b63b7eb070fa559544d08c635fd1e8c /japanese | |
parent | 698f6bf9f73d2a210811404b728d77b8d4e94327 (diff) |
the security audit project is inactive
Diffstat (limited to 'japanese')
26 files changed, 0 insertions, 733 deletions
diff --git a/japanese/security/audit/2002/Makefile b/japanese/security/audit/2002/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2002/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2002/index.wml b/japanese/security/audit/2002/index.wml deleted file mode 100644 index e22d8e61338..00000000000 --- a/japanese/security/audit/2002/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2002 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2002 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2003/Makefile b/japanese/security/audit/2003/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2003/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2003/index.wml b/japanese/security/audit/2003/index.wml deleted file mode 100644 index 86377426141..00000000000 --- a/japanese/security/audit/2003/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2003 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2003 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2002.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2004/Makefile b/japanese/security/audit/2004/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2004/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2004/index.wml b/japanese/security/audit/2004/index.wml deleted file mode 100644 index 2bab6d08929..00000000000 --- a/japanese/security/audit/2004/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2004 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2004 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2004.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2005/Makefile b/japanese/security/audit/2005/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2005/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2005/index.wml b/japanese/security/audit/2005/index.wml deleted file mode 100644 index 5ebf5e08d0f..00000000000 --- a/japanese/security/audit/2005/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2005 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2005 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2005.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2006/Makefile b/japanese/security/audit/2006/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2006/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2006/index.wml b/japanese/security/audit/2006/index.wml deleted file mode 100644 index 25e80c9cfe9..00000000000 --- a/japanese/security/audit/2006/index.wml +++ /dev/null @@ -1,9 +0,0 @@ -#use wml::debian::template title="2006 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="4884c8f083ae4a3f39b5af389e3a2c6d1a6b1cad" - -<h2>2006 年にリリースされたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2006.inc" - -<p><a href="..">Debian セキュリティ監査プロジェクトへ戻る</a>、<a href="../advisories">セキュリティ監査のもたらした勧告のリストを参照する</a></p> diff --git a/japanese/security/audit/2008/Makefile b/japanese/security/audit/2008/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2008/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2008/index.wml b/japanese/security/audit/2008/index.wml deleted file mode 100644 index 27c20636c32..00000000000 --- a/japanese/security/audit/2008/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="2008 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>2008 年に発表されたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2008.inc" - -<p><a href="..">監査プロジェクト</a>、<a -href="../advisories">勧告一覧</a></p> diff --git a/japanese/security/audit/2009/Makefile b/japanese/security/audit/2009/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2009/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2009/index.wml b/japanese/security/audit/2009/index.wml deleted file mode 100644 index 39687345f50..00000000000 --- a/japanese/security/audit/2009/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="2009 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="3c2f38335e8cd15d59550b56dd3faeb997be15cb" - -<h2>2009 年に発表されたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p><a href="..">監査プロジェクト</a>、<a -href="../advisories">勧告一覧</a></p> diff --git a/japanese/security/audit/2011/Makefile b/japanese/security/audit/2011/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/2011/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/2011/index.wml b/japanese/security/audit/2011/index.wml deleted file mode 100644 index 2ca377d0aa9..00000000000 --- a/japanese/security/audit/2011/index.wml +++ /dev/null @@ -1,10 +0,0 @@ -#use wml::debian::template title="2011 年の Debian セキュリティ監査活動による勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="458c03fd57fc50534f97eccb28081fcc2c9cd180" - -<h2>2011 年に発表されたセキュリティ勧告</h2> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" - -<p><a href="..">監査プロジェクト</a>、<a -href="../advisories">勧告一覧</a></p> diff --git a/japanese/security/audit/Makefile b/japanese/security/audit/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/advisories.wml b/japanese/security/audit/advisories.wml deleted file mode 100644 index 57db6b03bde..00000000000 --- a/japanese/security/audit/advisories.wml +++ /dev/null @@ -1,22 +0,0 @@ -#use wml::debian::template title="セキュリティ監査のもたらした勧告" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0ad4d180b114f128c3363384351694a7bbe6a069" - -<p>この監査プロジェクトの直接的な結果としてリリースされた最新の勧告を見ることができます。</p> - -#include "$(ENGLISHDIR)/security/audit/data/2011.inc" -#include "$(ENGLISHDIR)/security/audit/data/2009.inc" - -<p>過去の年度にリリースされた勧告の記録も参照可能です。</p> - -<ul> -<li><a href="/security/audit/2011">2011</a></li> -<li><a href="/security/audit/2009">2009</a></li> -<li><a href="/security/audit/2008">2008</a></li> -<li><a href="/security/audit/2007">2007</a></li> -<li><a href="/security/audit/2006">2006</a></li> -<li><a href="/security/audit/2005">2005</a></li> -<li><a href="/security/audit/2004">2004</a></li> -<li><a href="/security/audit/2003">2003</a></li> -<li><a href="/security/audit/2002">2002</a></li> -</ul> diff --git a/japanese/security/audit/auditing.wml b/japanese/security/audit/auditing.wml deleted file mode 100644 index 8459dbf552a..00000000000 --- a/japanese/security/audit/auditing.wml +++ /dev/null @@ -1,144 +0,0 @@ -#use wml::debian::template title="監査の実施" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" - -<p>このページではパッケージ監査の実施にあたって必要な手順の概観を提示します。</p> - -<p>第一段階は調査するパッケージを実際に選択することで、 -セキュリティがより重要であるものを取り上げるべきです。</p> - -<p>決断方法についての提案ですが<a href="$(HOME)/security/audit/packages">\ -監査にあたって私たちが最も重要だと考えるパッケージ一覧</a>を見てみてください。</p> - -<p>一つはっきりさせておくべきことは、私たちは、 -以前にパッケージの監査が確実に行われたことを示したいのでは<em>ない</em>ということです。 -多くの人が同一パッケージの調査を選択するとしたらそれは良いことで、 -そのパッケージはセキュリティに細心の注意を払うべきだ、 -と多くの人が考えていることを実証することになります。</p> - -<p>パッケージを本質的に無作為に選んでもらうことで、私たちは調整作業を簡略化できます。 -さらに「X さんがよい仕事をすることをどうすれば確信できるのか ?」という問題も解決することができます -(遅かれ早かれ誰か他の人が同一プログラムを選んで検査することになるのでその必要はありません)。</p> - -<h2>監査の開始</h2> - -<p>パッケージを選択したら今度は実際に監査を始める必要があります。</p> - -<p>どんな種類の問題を探せばよいのかよくわからなかったらまず、 -安全なソフトウェアの開発方法に関する本を読むことから始めてください。</p> - -<p><a href="http://www.dwheeler.com/secure-programs">Secure Programming -for Linux and Unix HOWTO</a> によい情報が多くあり役立つでしょう。 -Mark G. Graff と Kenneth R. van Wyk による -<a href="http://www.securecoding.org/">Secure Coding: Principles & -Practices</a> も素晴らしい本です。</p> - -<p>ツールは不完全ではありますが、脆弱性らしきものを見つけるにあたっては非常に役に立ちます。 -一部の利用可能な監査ツールやその使われ方についてのさらなる情報は、 -<a href="tools">監査ツールのページ</a>を見てください。 -</p> - -<p>コード自体を見るのと同様に、そのパッケージの付属文書を読んでみる、 -インストールを試してみる、使ってみるというのもよい案です。</p> - -<p>こういったことにより、 -標準的な操作でそのプログラムの機能を損なわせる方法を考え出せるかもしれません。</p> - - -<h2>問題の報告</h2> - -<p>調査しているパッケージに問題を見つけた場合、それを報告するべきです。 -セキュリティバグを報告する際、パッチの提供も考えてみてください。 -それにより開発者は直ちに修正できます。 -攻撃例を提供する必要はありません -(<em>exploit</em> や <em>概念実証</em> とよく呼ばれます)。 -これはパッチがそれ自体でそういったことを提示してしまう類のものなので、 -バグを悪用した攻撃の成功につながるため、 -通常は正式なパッチを提供するための時間的猶予を与えることが最善となります。</p> - - -<p>これは Debian でセキュリティバグを見つけた時に推奨される手順一覧です:</p> - -<ol> - -<li>バグのパッチを作るか十分な情報を収集するようにしてください。 -それによって他の人がバグの存在を確定できます。 -理想的なのはそれぞれの報告に発見した問題の修正方法が含まれることで、 -その修正方法は試験の上、問題を実際に終息させることが確認されているものとなります。 - -<p>修正方法がわからない場合は、問題の適用範囲や相対的な影響の大きさ、 -それに次善策があるとなお良いでしょう。</p></li> - -<li>まず、そのセキュリティバグが安定版 Debian リリースに存在するのか、 -他のディストリビューションや上流のメンテナにより提供されたバージョンに\ -存在するのかを調べ直します。</li> - -<li>上で調べ直した結果を踏まえて、問題を報告してください: - -<ul> - -<li>上流のメンテナ宛にセキュリティ連絡用の当該 e-mail 経由で、分析とパッチを添えて。</li> - -<li>そのバグが Debian のリリース済みのバージョンに存在する場合 Debian -セキュリティチーム宛に。Debian セキュリティチームは通常、<a -href="$(HOME)/security/cve-compatibility">CVE 名</a>を脆弱性に割り当てます。 -セキュリティチームは、必要に応じて他の Linux -ディストリビューションとの調整やパッケージメンテナへの連絡を行います。 -そのメールの複製をパッケージメンテナにも送ることはできますが、 -それは危険性の低い脆弱性 (以下参照) を扱う場合だけにしてください。</li> - -<li>そのバグが Debian のリリース済みのバージョンに存在せず、そのアプリケーションが -他のディストリビューションやオペレーティングシステムに存在する可能性がある場合は、<a -href="http://oss-security.openwall.org/wiki/mailing-lists/oss-security">oss-security</a> -(開示されたセキュリティバグの報告および議論に使われる公開メーリングリスト) -にメールを送ってください。バグを Debian セキュリティチーム宛に既に送っていれば、 -チームの方でこのリストにも転送するのでこれは必要ありません。</li> - -<li>そのバグが Debian のリリース済みのどのバージョンにも存在<strong>せず</strong>、 -そのアプリケーションが他のどのディストリビューションや\ -オペレーティングシステムにも含まれ<strong>ない</strong> -ことが絶対に確実であればバグ追跡システム経由で報告してください。</li> - -</ul></li> - -<li>脆弱性が公開 (つまり Debian セキュリティチームや他のベンダーが勧告を発表) -されたら、バグとその関連情報を全て Debian バグ追跡システムに提出し、 -Debian のまだリリースされていないバージョン (つまり <em>sid</em> や -<em>testing</em>) のセキュリティ問題を追跡出来るようにすべきです。 -これは通常セキュリティチーム自身が行いますが、 -見逃していることに気付いた場合やセキュリティチームに報告していない場合は -自分で報告することも可能です。 -バグに適切なタグ (<em>security</em> タグを使ってください) を付けたか、 -適切な優先度 (通常 <em>grave</em> かそれ以上) がセットされているか確認してください。 -当該 <a href="$(HOME)/security/cve-compatibility">CVE -名</a>が既に割り当てられている場合はそれをバグの題名に確実に含めるようにしてください。 -これでセキュリティバグを追跡する道筋が出来、Debian -のリリース済み、未リリース双方のバージョンで修正されることになります。</li> - -<li>望むなら、問題が公開されればこの情報を -<a href="https://lists.grok.org.uk/mailman/listinfo/full-disclosure">full-disclosure</a> -や <a href="http://www.securityfocus.com/archive/1">Bugtraq</a> -等の完全公開されている公開メーリングリストに転送することもできます。</li> - -</ol> - -<p>ここに挙げた手順は見つかった脆弱性に関わる危険性によることに注意してください。 -危険性を評価する際の基準となるのは:</p> - -<ul> -<li>脆弱性がリモートかローカルか。</li> -<li>脆弱性が悪用された場合の被害。</li> -<li>脆弱性により影響を受けるソフトウェアの普及度合い。</li> -</ul> - -<p>取るべき手順は、 -例えば認証済みユーザによってのみ使用可能なローカルのシンボリックリンク攻撃で、 -システムに損害を与える手段を提供するだけのものを報告するのと、 -普及しているソフトウェアに管理者特権を提供するリモートのバッファオーバフローが\ -存在するのを報告するのとでは異なります。</p> - -<p>ほとんどの場合セキュリティバグ修正されるまで公開されるべきではないので、 -標準となっている <a href="https://bugs.debian.org/">Debian バグ追跡システム</a> -経由での報告は<em>せず</em>、まずは<a href="$(HOME)/security/">セキュリティチーム</a> -宛に直接問題を報告してください。セキュリティチームが更新パッケージのリリースを担当し、 -問題を修正したら BTS に報告します。</p> diff --git a/japanese/security/audit/examples/Makefile b/japanese/security/audit/examples/Makefile deleted file mode 100644 index 3b7e77d22dc..00000000000 --- a/japanese/security/audit/examples/Makefile +++ /dev/null @@ -1 +0,0 @@ -include $(subst webwml/japanese,webwml/english,$(CURDIR))/Makefile diff --git a/japanese/security/audit/examples/index.wml b/japanese/security/audit/examples/index.wml deleted file mode 100644 index 387954cceeb..00000000000 --- a/japanese/security/audit/examples/index.wml +++ /dev/null @@ -1,21 +0,0 @@ -#use wml::debian::template title="自動監査の例" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="6097aaeb789f09a86133073acab93480df51405c" - -<p><a href="../tools">監査ツールのページ</a>で説明しているように、 -ソースコードの自動監査に使えるパッケージが Debian -アーカイブ内にいくつかあります。</p> - -<h2>監査の例</h2> -<p>以下のツールはそれぞれ<a href="test.c.html">バグだらけのコード</a> -の同じ部分に対してテストされました。 -これにより、ツールの出力を直接比較できます。</p> - -<p>コードは 3 つのツールによって分析されています:</p> -<ul> -<li><a href="flawfinder">flawfinder</a></li> -<li><a href="RATS">RATS</a></li> -<li><a href="pscan">pscan</a></li> -</ul> -<hr /> -<p><a href="..">監査プロジェクトに戻る</a></p> diff --git a/japanese/security/audit/faq.wml b/japanese/security/audit/faq.wml deleted file mode 100644 index ca2d016b547..00000000000 --- a/japanese/security/audit/faq.wml +++ /dev/null @@ -1,130 +0,0 @@ -#use wml::debian::template title="Debian セキュリティ監査 FAQ" -#use wml::debian::toc -#use wml::debian::translation-check translation="b8114b588961778dbd04974c1464a2f388a90c28" - -<p>このページでは、このプロジェクトについて初めて耳にした人がもつ可能性がある、 -代表的な質問の一部をリストアップします。</p> - -<toc-display> - -<toc-add-entry name="what">Debian -セキュリティ監査プロジェクトとは?</toc-add-entry> - -<p>Debian セキュリティ監査プロジェクト (Debian Security Audit Project) は、Debian -プロジェクト内で行われている小さなプロジェクトです。Debian -ユーザが利用できるパッケージのソースコード監査を実施して、 -セキュリティに対して積極的な姿勢をとろうと計画されました。</p> - -<p>監査は Debian 安定版 (stable) ディストリビューションを対象とし、監査作業は<a -href="packages">パッケージの優先順位付けに関するガイドライン</a>による指示に従います。</p> - -<toc-add-entry name="start">Debian -セキュリティ監査プロジェクトはいつ始められたのですか?</toc-add-entry> - -<p>最初の勧告は 2002 年 12 月に出され、その後、やがて他の勧告も出されました。</p> - -<p>活動は非公式な立場で続けられましたが、2004 年 5 月 に Debian -プロジェクトリーダーの Martin Michlmayr さんによって<q>公式</q>の地位を与えられました。</p> - -<toc-add-entry -name="advisories-from-audit">どの勧告が、監査活動の結果として得られたものなのですか?</toc-add-entry> - -<p>監査作業の一環として出された勧告は多数あります。 -プロジェクトが公式の地位を与えられる前に出されたものは全て、<a -href="advisories">監査のもたらした勧告のページ</a>にリストアップされています。</p> - -<p>近い将来には、 -公式の地位を得た後にプロジェクトから出され一般に知られるようになった勧告が、Debian -セキュリティ勧告のレポートを見たり<q>Debian -セキュリティ監査プロジェクト</q>で検索したりして見つけられるようになると期待されます。</p> - -<toc-add-entry -name="advisories">監査作業はすべて勧告に繋がっているのですか?</toc-add-entry> - -<p>実際のところ、繋がってはいません。監査の過程で、 -直接は悪用可能ではない (しかしプログラムをクラッシュさせる可能性がある) -と分かったセキュリティ問題は多数あります。他にも、 -私たちの発見した悪用可能なセキュリティ問題が、Debian の公式安定版 (stable) -リリースには存在せず、テスト版 (testing) リリースや不安定版 (unstable) -リリースに存在することもあります。こういった問題はすべて、Debian -のバグ追跡システムを通じて (あるいは場合によっては上流開発者に直接) 報告されます。</p> - - -<toc-add-entry -name="credit">誰がこの仕事に貢献してきたのですか?</toc-add-entry> - -<p>Steve Kemp さんが Debian セキュリティ監査プロジェクトを開始して初期の処理過程を編成し、 -多数の脆弱性を発見することでその処理過程を試しました。</p> - -<p>Ulf Hänhammar -さんが、初期のこの非公式な期間にプロジェクトに参加し、いくつかの脆弱性を発見しました。 -それらの脆弱性はその後に修正されています。Ulf さんの後まもなく Swaraj Bontula さんと Javier -Fernández-Sanguino さんもいくつかの重大なセキュリティ問題を発見しました。</p> - -<p><a href="http://www.dwheeler.com">David A. Wheeler</a> さんが Steve Kemp -さんに対して、この活動を Debian -の公式なプロジェクトとして率いることを申し出るようけしかけ、それは Debian -プロジェクトリーダーの Martin Michlmayr さんの参加によって可能となりました。また、David -さんは、セキュリティ監査プロジェクトのウェブページの内容に関して多数の有益な提案をし、 -複数のセクションに直接的な貢献をしました。</p> - -<p><a href="$(HOME)/security">Debian セキュリティチーム</a>が、 -発見されたあらゆる脆弱性を速やかに修正して世界中に確実に配布するという、 -監査を成功させる上での大きな手助けをしました。</p> - -<p>以下の人々が少なくとも1つのプロジェクト名でのセキュリティ勧告に貢献してきました。</p> - -#include "$(ENGLISHDIR)/security/audit/data/credits.inc" - -<p>私たちは、貢献してくれる人がさらにいたらいつでも歓迎します!</p> - - -<toc-add-entry name="contribute">貢献するには?</toc-add-entry> - -<p>パッケージの監査に必要な時間や技術力をもっているのなら、あとは監査に着手するだけです!</p> - -<p><a href="auditing">監査方法の概要</a>を読めば、仕事に取り掛かる方法がよくわかるはずです。 -さらに質問がある場合は、<a -href="https://lists.debian.org/debian-security/">debian-security -メーリングリスト</a>で訊くとよいでしょう。</p> - -<toc-add-entry -name="mailinglist">特定のパッケージについてメーリングリスト上で議論してもかまいませんか?</toc-add-entry> - -<p><a href="$(HOME)/security/">DSA</a> -が出される前には、発見した問題を含むパッケージの名前は出さない方がよいでしょう。 -というのは、修正される前にパッケージの名前を出して欠陥を説明すると、 -悪意をもったユーザが、その欠陥を悪用できてしまうからです。</p> - -<p>その代わりメーリングリストは、 -コードの一部を記述してその悪用可能性や修正方法についての意見を求めるのに使うことができます。</p> - -<toc-add-entry -name="maintainer">パッケージのメンテナとして貢献するには?</toc-add-entry> - -<p>パッケージのメンテナは、 -自分でコードに一通り目を通すか他人に手助けを求めるかして、 -自分がパッケージ化しているソフトウェアのセキュリティを確実なものにする手助けをできます。</p> - -<p><a href="maintainers">パッケージのメンテナ向けの監査方法</a>の概要を見てください。</p> - -<toc-add-entry -name="reporting">発見した問題を報告するには?</toc-add-entry> - -<p><a href="$(HOME)/security/faq#discover">セキュリティチームの FAQ</a> -に、その方法を説明しているセクションがあります。</p> - -<toc-add-entry -name="clean">監査されてセキュリティ面に問題がないとわかったパッケージ一覧が利用できるのですか?</toc-add-entry> - -<p>いいえ、これまでに監査を受けて内部に問題が見つからなかったパッケージは、 -公にはリストアップされていません。</p> - -<p>それは、見落とされた問題が潜んでいる可能性があるため、 -そして細かい調整を受けずに複数の人々で監査が行われているためです。</p> - -<toc-add-entry name="moreinfo">さらに詳しい情報をどこで得られますか?</toc-add-entry> - -<p>購読して質問できるメーリングリストは現在ありません。当分の間 -<a href="https://lists.debian.org/debian-security/">debian-security -メーリングリスト</a>を使ってください。</p> diff --git a/japanese/security/audit/index.wml b/japanese/security/audit/index.wml deleted file mode 100644 index b6d5eb644a8..00000000000 --- a/japanese/security/audit/index.wml +++ /dev/null @@ -1,41 +0,0 @@ -#use wml::debian::template title="Debian セキュリティ監査プロジェクト" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="57f73cd8cc7f0c94f280e3444c075d201e8d42a8" - -<p>Debian セキュリティ監査プロジェクトは、Debian -パッケージのセキュリティ問題の監査に重点的に取り組むプロジェクトです。</p> -<p>短い期間にプロジェクトはいくつかの <a href="$(HOME)/security/">Debian -セキュリティ勧告</a>に関わり、 -Debian のセキュリティを向上する上でこの監査活動が本当に機能することを示してきました。 -今後の活動からさらに多くの勧告がもたらされることが期待されます。</p> -<p>コードの監査を積極的に行なう姿勢をとることで、 -私たちは、Debian がセキュリティを重要視するという長い歴史をこれからも続けていくのを手助けできます。</p> - - -<h2>監査の範囲</h2> - -<p>このプロジェクトの目的は、Debian 安定版 (stable) -リリース中のなるべく多くのパッケージについて、潜在的な欠陥を監査することです。 -そもそも安全でないパッケージが安定版 (stable) リリースに入る可能性自体を減らす目的で、 -不安定版 (unstable) ディストリビューション中に含まれる重要なパッケージについても、 -欠陥を探すため監査するかもしれません。</p> - -<p>現在の Debian リリース全体のサイズは非常に大きいため、 -小さいチームですべてのパッケージを監査するのは実行不可能です。 -そのため、よりセキュリティに気を配る必要がある (security sensitive) パッケージを優先するシステムがあります。</p> - -<p><a href="packages">パッケージの優先順位付けに関するガイドライン</a>は、 -重要なパッケージの監査作業に対して確実に時間をかけようという試みです。 -また<a href="tools">監査ツールの概要</a>では、 -入手可能ないくつかのソースコードスキャナを使うとどのような監査ができるかを説明しています。</p> - -<h2>これまでにリリースされた勧告</h2> - -<p>セキュリティ問題に対して脆弱だとわかったパッケージに関しては、 -Debian セキュリティチームによって <a href="$(HOME)/security/">DSA</a> がリリースされます。</p> -<p>参考のため、セキュリティ監査の過程を通じて直接もたらされた<a -href="advisories">これまでの勧告のリスト</a>もあります。</p> - -<h2>さらに詳しい情報</h2> - -<p>プロジェクトに関するさらに詳しい情報は<a href="faq">セキュリティ監査の FAQ</a> で見つけることができます。</p> diff --git a/japanese/security/audit/maintainers.wml b/japanese/security/audit/maintainers.wml deleted file mode 100644 index dac2889e27f..00000000000 --- a/japanese/security/audit/maintainers.wml +++ /dev/null @@ -1,49 +0,0 @@ -#use wml::debian::template title="パッケージのメンテナ向けの監査方法" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="534d1b782cfb92f46dc41fd064f779fffc329b12" - -<p>Debian アーカイブに含まれるパッケージのメンテナは、 -自分自身でコードに一通り目を通すことを検討してください。</p> - -<p><a href="tools">ソースコード監査ツール</a>を利用できればこの作業はかなり楽になります。 -時間がなくて自分で徹底的な監査をできなくても、問題がある可能性を秘めた箇所を見つけることができます。</p> - -<p>もし援助が必要なら、 -<a href="$(HOME)/security/#contact">Debian セキュリティチーム</a> または -(公開の) <a href="https://lists.debian.org/debian-security/">debian-security -メーリングリスト</a>宛に、ソースコード監査の実施方法について援助を求めてください。 -</p> - -# consider joining the <a -#href="http://shellcode.org/mailman/listinfo/debian-audit">debian-audit -#mailing list</a> and asking for a volunteer to look over your -#package.</p> - -<h2>メンテナ向け情報</h2> - -<p>ソースコードのレビューを希望するメンテナは Debconf6 の新聞「<a -href="https://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf"> -Debian のセキュリティバグを淘汰する</a> -(<a href="https://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf">スライド</a>) -」や覚え書き「<a -href="https://people.debian.org/~jfs/debconf6/security/common-problems.txt"> -Short, practical overview on how to find a few common -mistakes in programs written in various languages</a>」 -(ともに、監査プロジェクトのメンバーにより書かれています) -を興味を持って読んでみるといいでしょう。 -</p> - -<p><q>Debian のセキュリティバグを淘汰する</q>新聞はメキシコでの Debconf6 -で、講習会の一部として公開されました。監査を始めたばかりのメンテナにとっては<a -href="https://people.debian.org/~jfs/debconf6/security/samples/">サンプルコード</a>や<a -href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/">講習会のビデオ -</a>が有用かもしれません。</p> - -<h2>新しいリリース</h2> -<p>責任感のあるメンテナの一人として、 -パッケージの上流の新しいリリースに注意を向けておくべきです。 -changelog にセキュリティ問題に関する記述があったら、 -安定版 (stable) ディストリビューションのコードが脆弱性を含むものでないか調べてみましょう。</p> -<p>安定版 (stable) ディストリビューションで利用できる脆弱性を含むバージョンをもっていたら、 -<a href="$(HOME)/security/faq">セキュリティチームの FAQ</a> -に書かれているようにセキュリティチームに連絡をとってください。</p> diff --git a/japanese/security/audit/packages.wml b/japanese/security/audit/packages.wml deleted file mode 100644 index f59258585c8..00000000000 --- a/japanese/security/audit/packages.wml +++ /dev/null @@ -1,102 +0,0 @@ -#use wml::debian::template title="監査パッケージ優先順位付けガイドライン" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="8536cf419447d00f034a8e3ad9efa6a243462fe7" - -<p>Debian ディストリビューションの監査を実行する際に最初に生じる問題の一つは、 -監査対象のパッケージを決定することです。</p> - -<p>理想的にはすべてのパッケージを監査することになるでしょうが、 -アーカイブ全体には膨大な数のパッケージがあるので、 -作業に優先順位をつける簡単な方法がなくてはなりません。</p> - -<p>単純なガイドラインとしては、最初に監査する価値があるのは以下のパッケージです。</p> - -<ol> -<li>setuid や setgid をされてインストールされているあらゆるバイナリ。</li> - -<li>ネットワーク越しにサービスを提供するあらゆるもの。</li> - -<li>リモートからアクセス可能なあらゆる CGI/PHP スクリプト。</li> - -<li>root 権限で実行される cronjob やその他の自動化スクリプトを含んでいるあらゆるもの。</li> - -</ol> - -<p>一般に、人気があるパッケージは優先順位を上げてください。 -これらのパッケージに何らかの問題があれば、より多くのユーザに影響があるからです。</p> - -<p><a href="https://popcon.debian.org/">Debian 人気コンテスト</a>では、 -調査に参加しているボランティアにどのパッケージが最も人気があるのかを明らかにするための調査を行い続けています。</p> - -<p>特に、<a href="https://popcon.debian.org/by_vote">投票による (by vote) -パッケージの順序付け</a>を見てください。この<q>投票による</q>リストでは、 -調査に参加しているユーザがどの程度の頻度でパッケージを使用しているかによって、 -パッケージを順位付けています。</p> - -<p>パッケージが (特に上述の基準のいずれかを満たすなど) セキュリティ上重要であり、 -(このような調査で) 人気もある場合は、<em>間違いなく</em>監査の対象です。</p> - - -<h2><tt>setuid</tt> や <tt>setgid</tt> をされたバイナリ</h2> - -<p><tt>setuid</tt> や <tt>setgid</tt> -をされたバイナリは、伝統的にセキュリティ監査の対象となっています。 -これらのパーミッションのいずれかを持つ脆弱なバイナリを突く侵害行為で、ローカルユーザは、 -本来持っていない権限を利用する手段を得ることが可能だからです。</p> - -<p>検索の補助となる手段として、現行安定版 (stable) リリースに含まれる setuid や setgid -をされたバイナリの完全な一覧がこちらに存在します。</p> - -<ul> - -<li><a href="https://lintian.debian.org/tags/setuid-binary.html">Debian の -Setuid されたバイナリの Lintian Report</a></li> - -<li><a href="https://lintian.debian.org/tags/setgid-binary.html">Debian の -Setgid されたバイナリの Lintian Report</a></li> - -</ul> - -# TODO (jfs): the above does not provide the same information as was available at -# http://shellcode.org/Setuid/ -# ask Steve Kemp to move this feature to a Debian-administered machine? -# (or to the Alioth project) -# - -<p>setuid や setgid -をされたバイナリの中からどれを選択するかに関しては、 -そのようなバイナリの中でもセキュリティ問題への繋がりやすさに差がある、 -ということを覚えておくことが重要です。例えば、setuid(root) -をされたバイナリは、setgid(games) や setuid(bugs) -をされたバイナリよりも先に監査すべきです。</p> - - -<h2>ネットワークサーバ</h2> - -<p>セキュリティ監査の実施ということになると、明らかに思い浮かびやすいもう 1 -つの対象はネットワークに繋がったサーバです。 -ネットワークに繋がったサーバに悪用可能な問題があると、 -攻撃者がリモートからマシンを侵害できるようになりうるからです。</p> - -<p>通常、 -リモートからのセキュリティ侵害はローカルからのセキュリティ侵害よりもはるかに重大です。</p> - -<h2>オンラインのスクリプト</h2> - -<p>オンラインのスクリプト、特に CGI スクリプトは、実はネットワークサーバと同等です。 -ウェブサーバ自体は安全かもしれませんが、その上で動作するスクリプトも同程度に重要なのです。</p> - -<p>ネットワーク越しに利用可能なスクリプトのバグは、 -接続を待ち受けているサーバのバグと同程度に重大です。 -どちらのバグでもマシンへのセキュリティ侵害が可能になってしまうからです。</p> - -<h2>cronjob やシステムのサービス</h2> - -<p>あちこちに多数あるわけではありませんが、 -パッケージ内に含まれている自動化スクリプトや cronjob などには目を通す価値があります。</p> - -<p>ログファイルの掃除などに使用される多くのサポートツールが、デフォルトでは root -権限で実行されます。</p> - -<p>シンボリックリンク攻撃の悪用が成功してしまうと、 -ローカルからの侵害を招く可能性があります。</p> diff --git a/japanese/security/audit/tools.wml b/japanese/security/audit/tools.wml deleted file mode 100644 index b1e912a30cf..00000000000 --- a/japanese/security/audit/tools.wml +++ /dev/null @@ -1,139 +0,0 @@ -#use wml::debian::template title="セキュリティ監査ツール" -#use wml::debian::recent_list -#use wml::debian::translation-check translation="be191e77facf8c0d489cfd320232517e5233a3e2" - -<p>ソースコード監査を支援する目的で設計されたパッケージがいくらか -Debian アーカイブから利用可能となっています。これには次のようなものがあります:</p> - -<ul> -<li><a href="https://packages.debian.org/flawfinder">Flawfinder</a> -<ul> -<li><a href="examples/flawfinder">サンプルの flawfinder 使用例</a></li> -</ul></li> -<li><a href="http://archive.debian.net/woody/its4">ITS4</a> -<ul> -<li>ITS4 は不安定版 (unstable) -ディストリビューションから削除されたため使用例はありません</li> -</ul></li> -<li><a href="https://packages.debian.org/rats">RATS</a> -<ul> -<li><a href="examples/RATS">サンプルの RATS 使用例</a></li> -</ul></li> -<li><a href="https://packages.debian.org/pscan">pscan</a> -<ul> -<li><a href="examples/pscan">サンプルの pscan 使用例</a></li> -</ul></li> -</ul> - -<p>また、Debian 向けのパッケージ化はまだされていないかもしれませんが、 -監査員にとって有用な特定のセキュリティ脆弱性に特化した他のツールも存在することに注意してください。 -これには次のようなものがあります:</p> - -<ul> -<li>XSS バグに特化したツール: -<ul> -<li><a href="http://freecode.com/projects/xsslint/">Xsslint</a></li> -<li><a href="http://www.devitry.com/screamingCSS.html">ScreamingCSS</a></li> -</ul></li> -<li>ウェブブラウザをテストするツール: -<ul> -<li><a href="http://www.securityfocus.com/archive/1/378632">MangleMe</a></li> -</ul></li> -</ul> - -<p>どのツールも完璧ではなく、更なる研究のための指針としてしか使えませんが、 -使い方がとても単純という前提があるので、 -少し時間を取って試してみる価値はあります。</p> - -<p>ツールにはそれぞれ異なる特長や弱点があるため、複数併用するのが賢明でしょう。</p> - -<h2>Flawfinder</h2> - -<p>flawfinder は C および C++ -ソースコードを分析して潜在的なセキュリティ欠陥を探すように設計された Python ツールです。</p> - -<p>ソースコードを含むディレクトリに対して実行すると、 -検出した潜在的な問題の報告を危険度 (<i>危険度</i>は 1–5 の 5 段階) -の順に並べ替えて出力します。軽微な危険を無視する場合、 -特定レベル以下の危険となる欠陥については報告しないよう\ -プログラムに指示することも可能です。 -デフォルトでの出力は平文テキストですが、HTML での報告も可能です。</p> - -<p>このプログラムはよく悪用される関数のデータベースを内蔵していて、 -その中にある関数の使用をコードを走査することで探します。</p> - -<p>報告の分析を支援するため、 -関数が使用されている行が含まれる報告を出力させることが可能です。 -問題をすぐに検出したり除外するような場合に有用かもしれません。</p> - -<p><a href="examples/">監査例のセクション</a>に -flawfinder の使用例とその出力があります。</p> - -<h2>ITS4</h2> - -<p>ITS4 は Debian アーカイブの non-free セクションに含まれるツールで、 -<q>woody</q> ディストリビューション用だけが利用可能となっています。</p> - -<p>ITS4 は C および C++ 双方のコードを走査して潜在的なセキュリティホールを探します。 -flawfinder とよく似ています。</p> - -<p>これが吐き出す出力は知的に努め、 -危険な関数呼び出しが慎重に作られているような場合は除外されることがあります。 -</p> - -<h2>RATS</h2> - -<p>RATS は上で挙げたのと同様のツールですが、 -違うのは非常に幅広い範囲の言語をサポートしている点です。 -現在、C、C++、Perl、PHP、Python をサポートしています。</p> - -<p>このツールはその脆弱性を読み込むのに単純な XML ファイルを使います。 -これにより利用可能なツールの中で修正するのが最も簡単なものの一つとなっています。 -サポート済みの言語それぞれに新しい機能を追加するのは非常に簡単です。</p> - -<p><a href="examples/">監査例のセクション</a>に -RATS の使用例とその出力があります。</p> - -<h2>pscan</h2> - -<p>pscan はこれまで説明してきたツールとは違い、 -通常の目的のスキャナとは全く異なる、 -書式文字列バグの検出に特化したプログラムとなっています。</p> - -<p>このツールは C および C++ ソースコード内の可変長引数関数、例えば -<tt>printf</tt> や <tt>fprintf</tt>、<tt>syslog</tt> -の使用にあたっての潜在的な問題の発見を試みます。</p> - -<p>書式文字列バグの検出および修正は非常に簡単で、 -最も新しい種類のソフトウェア攻撃ではありますが、 -その大部分は恐らく既に発見、修正済みです。</p> - -<p><a href="examples/">監査例のセクション</a>に pscan -の使用例とその出力があります。</p> - -<h2>スキャナ出力の理解</h2> - -<p>一般的な走査ツールはそれぞれ、検出した欠陥の説明と、 -もしかするとそのコードの修正方法についての助言を出力に含めます。</p> - -<p>例えば以下は <tt>getenv</tt> の危険性を説明する RATS -の出力を抜粋したものです:</p> - -<p>"環境変数は極めて信頼できない入力です。 -任意の長さで任意のデータを含めることが可能です。 -その内容や長さについての仮定は一切しないでください。可能な限りその使用は避け、 -必要な場合は健全化した上で妥当な長さに切りつめてください。"</p> - -<p>報告された穴の修正方法についての詳細な助言が必要であれば、 -安全にプログラミングするための本、例えば David A. Wheeler により書かれた -<a href="http://www.dwheeler.com/secure-programs/">Secure programming -for Linux and Unix HOWTO</a> 等で勉強してください。</p> - -<p>(セキュリティ問題を報告する際、 -穴を塞ぐパッチが非常に喜ばれることを覚えておいてください)</p> - -<p>コードの特に問題のある部分の修正に関連する議論は -<a href="https://lists.debian.org/debian-security/">debian-security -メーリングリスト</a>で行うこととも可能です。 -これは公開されているメーリングリストで公開アーカイブもあるので、 -どのプログラムに欠陥が含まれるのかを明らかにはしないように多少注意してください。</p> |