MoonWolfです。

U.Nakamura wrote:
> | あと、プログラム的に確認することだけではなく人間が確認して安心するための
> | 手段を用意して欲しいということが私の趣旨です。
> 
> (1)がスルーされてますが、わかる人に確認する、という選択肢はあ
> りえないのでしょうか?

人間に問い合わせるってすごく面倒ではありませんか? 時間もかかるでしょうし。
自分で確認できれば、すぐに済むんだけど。

> | パッチをあてても、脆弱性の存在する「バージョン1.8.5以前」のままであっ
> | て、本当に対策できたのか判断できませんがそれでもいいと?
> 
> 「本当に対策できたのか」は、実際にその脆弱性が再現するかどう
> かを確認する以外に判断不可能だと思いますが...

http://www.ruby-lang.org/ja/news/2006/11/02/CVE-2006-5467/
に書かれている対応方法では対策の終了条件が間違っているから
無限ループになりませんか?
1.9系では書いてある対策をとればきちんと終了するのですが。

> | > (3) もしCGI::REVISIONが適切でないとしたら、どのような手段が適
> | >     切と考えられるか
> | 
> | [ruby-dev:29726]では(a)としてRuby自体のバージョンをあげるという
> | 別の選択肢も提示しています。
> | すでに選択肢が提示されているにも関わらず、このような書き方をするのは
> | フェアではありません。
> 
> なんだか誤解があるようですが、
>  (1)で書いた必然性がないならそもそもこの話は不要
>  (1)で書いた必然性があるなら、(2)の確認が必要
>  (2)で適切でないなら(3)の検討が必要
> という、私からするとごく当たり前の思考順序を提示しただけです
> よ。

あの書き方ではいままでの議論の「まとめ」であるかのようにとられます。
しかし、それまでの議論ででた意見に対して白紙にするのはアンフェアではない
か?ということです。

> | > (4) 以上を踏まえた上で、それにかかるコスト(誰かのリソースを使
> | >     うんでしょうねえ)が効果に見合っているのか
> | 
> | 「コストがかかるから脆弱性に対応しない」というポリシーなのでしょうか?
> 
> あのですね、「コストがかかるから脆弱性に対応しない」なんて私
> は一言も言っていません。
> 今回報告されている脆弱性については、コストもクソも、既に対応
> されているわけです。

将来発生するかもしれない脆弱性について話しています。

> Rubyの脆弱性に対する対応全般についての一貫したポリシーについ
> ては、私にはそれを語る気はありません。だって知らないし。

みんな知りませんね。誰が知っているんだろう?
公式サイトを見る限りsecurity / ruby-lang.orgが知っているように見えますが
実際にはまつもとさんの独断で行われているわけだし。。。