たとえば、ATMで特定の操作をすると無限にお金が引き出せる方法が発見されたとして、
これをいきなり公表しちゃうと、犯罪と被害が多発するじゃないですか。
こういうのは、決して口外せず、こっそり問題を修正すべき立場の人に伝え、ただちに全てのATMに対策を実施し、修正が行き渡った状態になってから問題を公表します。
Mastodonの場合は、Githubみると、セキュリティのタブがあって、保証対象となるバージョンと、連絡先が書いてあります。ここに速やかに連絡してください。
https://github.com/mastodon/mastodon/security/policy
----
こういう問題がありましたって公表する時には、できるだけアップデート自体が行き渡っている状態に。理想的にはすべて行き渡った状態にしたい。
一方で『セキュリティアップデートだから、とりあえずあてて! 説明はあとで!』っていうからには、他の問題が起きないことを保証しないといけない。
そのためには、修正部分を最小限にしないといけない。今回のアプデはそういうヤツです。(なお、次が本番です)
https://github.com/mastodon/mastodon/releases/tag/v3.4.5
v3.3.0用もあります。
フォロー
のえる
@noellabo@fedibird.com
脆弱性(セキュリティホール)見つけた時に、どうすべきかってやつ発掘したのであげとくね。
ここではMastodonの話だけど、基本は同じ。
QT: https://fedibird.com/@noellabo/107725337200973979 [参照]
たとえば、ATMで特定の操作をすると無限にお金が引き出せる方法が発見されたとして、 これをいきなり公表しちゃうと、犯罪と被害が多発するじゃないですか。 こういうのは、決して口外せず、こっそり問題を修正すべき立場の人に伝え、ただちに全てのATMに対策を実施し、修正が行き渡った状態になってから問...
