2026-01-03 の一覧へ戻るホーム
リナックスカーネルのセキュリティ作業

2026/01/03 6:31

リナックスカーネルのセキュリティ作業

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

Linux カーネルのセキュリティチームは静かに運営されています:報告された問題を迅速に修正し、パッチを公開ブランチにすぐにマージし、解決まで議論を機密に保ちます。バグレポートは HTML やバイナリ、暗号化なしでプレーンテキストのメールとして中央エイリアスに送信され、非セキュリティ関連のバグは該当サブシステムのメーリングリストへ開かれた議論のために転送されます。チームメンバーはすべての会話をプライベートに保つ必要があり、解決前に雇用主やその他の者に情報を公開してはいけません。作業可能なパッチが存在する時点で、マイナラインとスタブルツリーの両方にマージされ、7日以上の埋め込みはありません。ほとんどのバグについては「ノーエンブargo」ポリシーであり、OS/ファームウェア境界を跨ぐ数少ないハードウェア関連問題のみが暗号化された限定メーリングリストを介して制限付きの埋め込み対象となります。CVE はパッチがリリースに現れた後、トリアージとは別のグループによって割り当てられます。カーネルの「発表なし」姿勢は、任意のバグ修正が一部のデプロイメントでセキュリティ修正になる可能性があるためです。修正をセキュリティ問題としてラベル付けするとユーザーを誤解させる恐れがあります。歴史的に 2005 年以前は公式報告チャネルがなく、2005 年 3 月に中央エイリアスと手順の標準化ドキュメントが設立されました。すべてのバグ修正はカーネルツリーへマージされた時点で公開されます。

本文

Linux カーネルのCVEリリースプロセス – 概要

TL;DR

  • Linuxカーネルのセキュリティチームは報告された問題を迅速に修正し、パッチを公開ツリーへマージしますが、その際には発表を行いません。
  • セキュリティチームとCVEチームは別々の組織であり、CVE割り当てを共有していません。
  • kernel-security
    エイリアスへの送信メールは プレーンテキスト で送ること(HTML・バイナリ添付・暗号化は禁止)です。

1. Linux カーネルセキュリティチームの働き

受動的ではなく、即応型

  • コアカーネル開発者が集まり、報告されたセキュリティバグをトリアージして修正します。
  • 「Kernel Self‑Protection」プロジェクトとは独立した 受動的 な作業です。

バグの報告方法

  1. kernel-security@linuxfoundation.org
    (またはカーネルドキュメントに記載されたエイリアス)へメールを送信。
  2. メールは プレーンテキスト で送ること。HTML、Markdown、バイナリ添付は禁止です。
  3. 詳細情報を提供し、可能なら動作する修正コードも添付してください。
  • 実際のセキュリティ問題ではない場合は、報告者を該当サブシステムのメーリングリストへ案内します。

サブシステム専門性への対応

  • チームに専門知識が不足しているサブシステムについては、その領域のメンテナをスレッドに追加。
  • もし十分な件数が報告されれば、メンテナ自身が 
    kernel-security
    エイリアスへ参加できるようになり、トリアージの手間が減ります。

2. 修正とマージ

  1. 7日以内に公開
    • 作業済みの修正がある場合は、7日を超えるエンブargoは設けません。
  2. バグはできるだけ早くメインカーネルツリーと安定版へマージされます。
  3. 修正後は開発者の作業は完了です。公開で修正内容を告知するかどうかは任意です。

3. CVE割り当て

  • kernel‑CVE チーム がパッチが公開ツリーにリリースされた後に CEV ID を割り当てます。
  • セキュリティチームは CEV の管理や外部へのコミュニケーションを行いません。

4. 主なポリシー

ポリシー説明
発表なし情報漏洩を防ぐため、セキュリティ修正は公開で告知しません。
プレーンテキストメールのみ悪意あるバイナリが誤って開かれるのを防ぎ、処理を統一します。
独立したチームセキュリティトリアージと CEV 割り当ては別々に機能します。
高速マージ7日エンブargo 規則を守りつつ、可能な限り早く修正を公開します。

5. ハードウェアセキュリティ問題

  • Spectre/Meltdown のようにクロスプラットフォームのバグの場合は、暗号化された専用リストが使用されることがあります。
  • この稀なケースではエンブargo を許容しますが、ハードウェアベンダーが対応できるようになるとこのワークフローを廃止する方針です。

6. 歴史的背景

マイルストーン
2005セキュリティバグ報告の中央化について最初に議論(Steve Bergman)。
2005Chris Wright がカーネルドキュメントに 
security contact info
を追加し、エイリアスを作成。
2008Linus が「すべてのバグはただのバグ」であると明言し、セキュリティ修正に別途マークを付けない方針を確認。

まとめ

  • 既知のバグはできるだけ早く修正し、迅速にマージします。
  • CEV ID は kernel‑CVE チームが担当します。
  • コミュニケーションはシンプルかつプレーンテキストで行い、機密性を保ちます。

同じ日のほかのニュース

一覧に戻る →

2026/01/03 4:48

自分のサイトで公開し、他所ではシンジケート(転載)してください。

## Japanese Translation: --- ## 要約 POSSE(**Publish on Your Own Site, Syndicate Elsewhere**)は、作家がまず自分のサイトにコンテンツを投稿し、その後第三者のサイロへ複製することで、元のコピーを完全に管理したまま公開できる出版モデルです。主なメリットは、外部プラットフォームへの依存度低減、正規URLの所有権確保、検索性向上、シンジケートからのレスポンスを逆流させる能力、およびソーシャルレイヤーの活用です。すべて自己ホスト状態を犠牲にすることなく実現します。 POSSEは、パーマショートリンクや引用経由でシンジケートコピーからのバックリンクを奨励し、発見性を高め、スパム対策を行い、元記事のSEOを向上させます。モデルは完全なCRUD操作をサポートします:下流コピーをu‑syndicationリンクで読み取り、編集または再投稿で更新し、既存アクティビティを考慮して削除できます。 ### 実装パターン 1. **自動サーバー側シンジケーション**(クライアント → サイト → サイロ):新しいコンテンツが公開されると、サイトは自動的にサイロへ投稿します。 2. **クライアント → サイト + 手動サイロ投稿**:クライアントがローカルで公開し、その後選択したサイロへ手動で投稿します。この方法はより多くの制御を提供しますが、自動化は減少します。 ### 人気のあるサイロ Twitter、Facebook、Medium、WordPress.com、Flickr、Mastodon、Bluesky など。 ### POSSEを可能にするツール Bridgy Publish、SiloRider、Feed2Toot、POSSE Party などが挙げられます。 ### 関連概念 - **COPE**(Create Once, Publish Everywhere) - **POSE**(Publish Once Syndicate Everywhere) - **PESOS**(Post Elsewhere, Syndicate to Own Site) - **PESETAS**(post to a single silo only) ### 歴史的マイルストーン Tantek Çelik が 2010 年に POSSE を定義し、2012 年に正式化しました。それ以来、Barnaby Walters、Aaron Parecki、Ben Werdmuller、Shane Becker、および Molly White といった IndieWeb 実践者がさまざまな CMS やカスタムセットアップで導入しています。エコシステムは 2024 年までに新しいツールとデプロイメントを通じて着実に成長しました。 ### 今後の展望 本文では、POSSE ユーティリティの継続的な拡張と多様な「サイロ」への広範な採用が予測されています。さらに非ウェブ領域(例:git リポジトリのミラーリング)まで拡大する可能性があります。このシフトは、個人クリエイターや小規模ビジネスに力を与え、支配的プラットフォームへの依存を減らしつつ SEO とオーディエンス エンゲージメントを向上させることが期待されます。

2026/01/03 13:01

**IQuest‑Coder:Claude Sonnet 4.5 および GPT 5.1 を凌駕する新しいオープンソースコードモデル**

## Japanese Translation: --- ### Summary GitHubは、Copilotとその拡張AIツールキット(Spark、Models、MCP Registry)でコードを書き、Actions、Codespaces、Issues、Code Review、および自動ワークフローパイプラインを通じてアプリケーションのデプロイ、監視、セキュリティを行うという、ソフトウェア開発のすべての段階をスムーズにする完全統合型AI搭載開発者プラットフォームとして自社を位置付けています。 このプラットフォームは、GitHub Advanced Security の脆弱性スキャンとシークレット保護という高度なセキュリティ機能を、CI/CD ライフサイクル全体にわたるオートメーションツールと統合しています。ターゲットユーザーは、企業、中小規模チーム、スタートアップ、非営利団体、およびアプリモダニゼーション、DevSecOps、DevOps、継続的インテグレーション/デプロイメントなどの専門ユースケースを含む広範なスペクトルです。 明示的に対応する産業にはヘルスケア、金融サービス、製造業、および政府があり、それぞれのセクター向けにカスタマイズされたソリューションが提供されています。 GitHub の戦略は、プロンプト管理やインテリジェントなアプリデプロイメントなどAI統合を深化させるとともに、エンタープライズグレードのセキュリティ機能、Copilot for Business、プレミアム24/7サポート、および追加オプションの拡充を図っています。これらの動きはコーディングワークフローの高速化、コンプライアンス制御の強化、およびプラットフォーム全体の魅力拡大を目指しています。 コミュニティエンゲージメントは、Security Lab、Maintainer Community、Accelerator、Archive Program、GitHub Sponsors プログラムなどのイニシアチブを通じて強化され、オープンソース開発者を支援し、ソフトウェア業界全体での協力を促進します。ドキュメント、ブログ、変更履歴、マーケットプレイス、コミュニティフォーラム、およびパートナープログラムは、ユーザーが開発ジャーニーを通じて継続的にサポートされるようにさらに支援しています。 ---

2026/01/03 6:27

「『Harder, Better, Faster, Stronger』のBPMに合わせたダフトパンクのイースターエッグはありますか?」

## Japanese Translation: ## 改訂要約 Daft Punk の「Harder, Better, Faster, Stronger」は一般的に 123 BPM としてリストされていますが、正確な分析では実際のテンポは **123.45 BPM** であることが示されました。この微妙さは標準の一覧では見落とされがちです。 著者はリアルタイム BPM 検出アプリ「Tempi」を構築し、数百曲のサニペットライブラリでテストしました。Tempo アプリを使って手動でテンポを測定し、最初の明確なビート(約 5.58 秒)と最後のビート(約 3:41.85 秒)の間にある全ビート数をカウントし、式 `bpm = 60 * (number_of_beats‑1) / duration` を適用しました。Discovery CD のリップでは **123.44994 BPM** が得られ、YouTube バージョンでは **123.45336 BPM** でした。両方とも四捨五入すると **123.45 BPM** に一致します。CD バージョンは処理が少ないため、より代表的と考えられます。 著者は FFT(高速フーリエ変換)や自己相関に依存するアルゴリズムベースのテンポ検出ツールはノイズが多く不正確である可能性を指摘し、手動測定の方がより信頼できる数値を提供すると述べています。 Daft Punk の機材—E‑mu SP‑1200、Akai MPC‑3000、および Emagic Logic—は BPM を異なる小数点精度でサポートしています(前二つでは一桁、Logic では最大四桁)。2001 年と 2013 年のインタビューでは、これらのデバイスでシーケンスを行い、コンピュータを使わないという主張があり、制作時に分数 BPM が可能だったことを示唆しています。 結論として、正確な **123.45 BPM** は Daft Punk の「ロボット的」プロダクションプロセスによる意図的なイースターエッグであると考えられます。このような隠された詳細を認識することは、音楽テック開発者、DJ、および作品に微妙な参照を埋め込むアーティストに有益です。