MoonWolfです。

Takahiro Kambe wrote:
> In message <454C1658.7090405 / moonwolf.com>
> 	on Sat, 4 Nov 2006 13:26:03 +0900,
> 	MoonWolf <moonwolf / moonwolf.com> wrote:
>>> 繰り返しますが、CVSにセキュリティ修正用の専用のブランチでない限り、レ
>>> ビジョンを元にしたcvs diffの結果だから安心ということにはならず、パッチ
>>> の作成ミスの可能性を疑えば、きりはありません。
>> 素人でも簡単に確認できる日付の整合性が取れていないのですが、それでもいい
> 素人でも簡単に確認できる日付の整合性って、いったい何でしょうか?

現在のパッチでは修正されていますが、最初に提供されたパッチでは[ruby-dev:
29745]で指摘した。
> * 1.8.5がリリースされたのは2006/8/25なのに、2006/9/4とのdiffである。
といった問題がありました。
cgi.rbにもRubyにも詳しくない人であってもパッチに書いてある日付くらいは読
めると思います。
8/25にリリースされたものに未来である9/4のファイルが含まれることは
故意にファイルの日付を変えたのでないかぎり、ありえませんね。
もうすこし注意して見れば、パッチに書いてあるREVISIONの行がリリースされた
ものと違うことがわかります。

> あとは、オフィシャルなパッチの場合であれば、
> 
> o 提供者がちゃんと authorize された者であることを確認できること。

もう一点、パッチを差し替えたら告知することも追加しておいてください。
昨日取得したパッチと今日取得したパッチでmd5sumが違ううえにパッチを当てた
結果がことなるのであれば、パッチを差し替えたことに言及して再アナウンス
するべきです。
こっそりとパッチを差し替えられて信用できますか?