glibc の脆弱性が公開されて数日経ちました。
緊急だと騒いだり、影響は少ないから落ち着いて対処をと言ったり。。。
どっちが正しいかを考える必要はない。
攻撃コードが作成される可能性がある。
だから、そうなってしまう前にパッチを急いで当てれば良い。
もし不要なパッチなら適用するのは無駄な作業になるのだからちゃんと調べろという人がいる。
セキュリティエンジニアにとってはそんなこと言われて調べるのが無駄な作業。
なぜなら全ての企業のセキュリティエンジニアが gethostbyname 関数の影響が Apache に影響があるのかどうかとか、メールサーバに影響があるのかどうか分かるわけじゃないからです。
既に危険だとアナウンスされているのだから、私は適用を進めるべきだと思ってる。
Goをかけてもらい、各所に影響があると話をして、スケジュールを立てて、システムエンジニアに作業をしてもらう。
それが企業のセキュリティエンジニア。
もし「お前がやれ」という指示をするなら、その時点で、そこにセキュリティは無いだろう。
私は価値観の理解のあるところで働けていて、とても恵まれている。
登録:
コメントの投稿 (Atom)
0 コメント:
コメントを投稿