世界を動かす技術を、日本語で。
このテキストは セキュリティ確認 のためのメッセージ。 ユーザーが ボットでないこと を確認するプロセス。 接続の 安全性確保 が目的。 待機指示 とプロセス進行中の案内。 自動処理や認証手順を示唆。
毎回のアップデートで新しいサプライチェーン攻撃か、Mythosからの修正を引くくじ引きみたいなもんだよね。
それか、セキュリティに対してYOLOアプローチを取らないFreeBSDみたいなOSに切り替えるのもアリだよ。セキュリティの修正は、FreeBSDカーネルに無計画に放り込まれることはなくて、FreeBSDのセキュリティチームを通過して、パッチがsrcツリーに入った数分後にはバイナリ更新(FreeBSD Updateやpkgbase経由で15.0-RELEASE用)も出されるから。だいたい、"パッチをプッシュしました"ってメッセージがSlackに流れるのに数秒、パッチのアップロードに10〜30秒、ミラーの同期に最大1分かかる感じ。
それに、あのテストや動画にDebianが出てこないのも面白いよね。
セキュリティの理由でBSDに切り替えるなら、なんでFreeBSDなの?OpenBSDの方が超安全じゃない?ごめん、あのプロジェクトを見たのは結構前だから。
FreeBSDは2019年までユーザーランドのASLRがなかったし、他の対策も含めてkASLRもまだない。セキュリティを気にする人には真剣なOSとは言えないよ。FreeBSDとセキュリティを求めるなら、Shawn WebbのHardenedBSDを使った方がいいよ。
いつもそういうやつがいるよね。君のお気に入りのディストリビューションが確実に安全だってのは素晴らしいことだよ。エクスプロイトが1桁少ないってことは、数千件程度になるんじゃないかな。オジマンディアスはGentooを使ってたし。
npmやPyPI、Cargoみたいな依存関係マネージャーに対するサプライチェーン攻撃には、すでにまあまあな解決策があるよ。数日以上古いパッケージバージョンだけをインストールするように設定するの。最近の目立った攻撃は、すべて1日以内に発見されてロールバックされたから、これをやってれば安全に攻撃を避けられたはず。これがデフォルトの動作になってもいいと思う。自己選択のベータテスターやセキュリティスキャナーの会社が、新しいパッケージのバージョンを1日試してから、こっちが使うようにすればいい。詳しくは: https://cooldowns.dev/
それで、セキュリティアップデートも遅れるの?多くの脆弱性は、気づかれるまで何年も放置されてるし、パッチが当てられるのも遅い。気づかれたら、そこでエクスプロイトの爆発が起きて、どこにでも興奮したエクスプロイターが現れる…遅れたアップデートに勇気づけられて。
こういうの、3ヶ月前のShow HNで見たやつにもっと合ってるかも。https://github.com/artifact-keeper アーティファクトマネージャー。自分が承認したものだけを手に入れる。必要なときに迅速なアップデートができて、安定したものを一貫して得られる。ちょっと設定のオーバーライドが必要だけど、簡単な作業だよ。自分でも似たようなツールを使ってたけど、これはいいプロジェクトだね。
個人的には、最も持続可能なモデルはLinuxディストリビューションやBSDポート、Homebrewのやり方だと思う。新しいライブラリを公開レジストリにプッシュするんじゃなくて、変更ごとにレビューされるパッケージスクリプトを書く感じね。
新しいプレイヤーで、継続的インテグレーションやコンテナビルドに入った人は、ビルドのたびにたくさんのパッケージで「最新」を引っ張ってないか確認してみて。私たちは、外部依存関係がすでに入ったベースコンテナを設定して、必要なときだけ明示的にアップデートするようにしてる。これで、最先端には少し遅れるかもしれないけど、ランダムなサプライチェーンの脆弱性が瞬時にグローバルに広がるリスクをかなり減らせるんだ。
これをやることで、CIのビルド時間や不安定な失敗も大幅に削減できるよ。