BPnetニュース

米Mozillaは数カ月前から、セキュリティ研究者兼アナリストであるRich Mogull氏の協力を得て、あるセキュリティ基準モデルの策定に取り組んでいる。オープンソースWebブラウザ「Firefox」のセキュリティ状況の推移を相対評価できるようにするためだ。作ろうとしているモデルは、バグの数を集計するだけの単純なものではなく、セキュリティ強化に向けた作業の効率性とユーザーに及ぶ危険性の両方について、時間的な変化を従来より正確に示せるものだ。この取り組みの第1段階で基準となるモデルを作り、各評価項目の有効性を確かめながら改良していく。セキュリティを絶対的に評価するモデルの作成は不可能だろう。そこで、セキュリティの改善（または低下）といった流れを追跡し、何らかの問題を特定する手段として、次第に変化する状況を把握できる評価基準を開発することにした。当記事で紹介する情報は、Firefoxの将来版にとどまらず、Mozillaのさまざまな開発プロジェクトにも影響を与える。セキュリティ基準モデル作成プロジェクトの目標は、Excelファイル（同じ内容のzip圧縮ファイル）にまとめた。以下に掲載する目標はまだ草案の段階で、現在フィードバックを受け付けている。最終版についてはきちんとした文章の形にする予定だが、現時点では方向性を明確化するために表形式とした。ダウンロードし、好きな項目について自由に意見を述べてほしい。基準モデルの作成作業はオープンに進める。最終的に成果物を一般公開するので、Mozilla以外の組織も状況に合わせて利用してもらいたい。