In message <454C1658.7090405 / moonwolf.com>
	on Sat, 4 Nov 2006 13:26:03 +0900,
	MoonWolf <moonwolf / moonwolf.com> wrote:
> > 繰り返しますが、CVSにセキュリティ修正用の専用のブランチでない限り、レ
> > ビジョンを元にしたcvs diffの結果だから安心ということにはならず、パッチ
> > の作成ミスの可能性を疑えば、きりはありません。
> 素人でも簡単に確認できる日付の整合性が取れていないのですが、それでもいい
素人でも簡単に確認できる日付の整合性って、いったい何でしょうか?

もう一言加えるなら、cvs diffでセキュリティ用のパッチが作成できれば、む
しろ幸運です。

現状でセキュリティに関する問題が発生して、そのパッチを作成しようとする
と、

1. いくつかのcvs diffの出力を元にして、
2. 1.8.5のリリース時点のファイルに修正を加えていって、
3. パッチのための修正ファイルを作り、
4. 1.8.5のリリース時点とのdiffを作る。

といった作業が必要になるわけです。セキュリティのための修正内容がコード
量として、少なければ、運良くcvs diffでパッチが作れることになります。

以上は、私がRubyの開発体制、現状のCVSブランチの保守状況を(当事者ではな
く)外部から見て書いていることです。

> という文化なのでしょうか?
勝手に文化などといったレベルに格上げするのは止めてください。

> 疑えばきりがないから、適当にcvsのdiffを操作してたまたまうまく当たるパッ
> チを提供することが許されているのですね。
セキュリティ・パッチに必要なのは、

o パッチがちゃんと当たること。
o セキュリティの穴がちゃんと塞がること。

です。それがcvs diffの出力そのものであるかどうかは、あまり重要ではあり
ません。もちろん、on the flyでの出力よりは、静的なファイルとして提供さ
れるべきですし、開発や保守をしていく側にすれば、セキュリティ専用のCVS
のブランチがあれば楽にはなるでしょう。

あとは、オフィシャルなパッチの場合であれば、

o 提供者がちゃんと authorize された者であることを確認できること。

というのもあるでしょう。

-- 
神戸 隆博 / Takahiro Kambe