年度も新しくなったことなので、ここらでセキュリティアドバイザリの件数を振り返ってみようと思います。Webで公開されているFreeBSDセキュリティアドバイザリの件数を年ごとにまとめてグラフにすると次のようになります。
2000年から2002年にかけてFreeBSDセキュリティアドバイザリの発行件数が多くなっています。そのあとは少ない数に収まっていますが、2014年からふたたび数が増えています。2016年も引き続きセキュリティアドバイザリの発行件数の多い年となりました。
2014年といえばセキュリティ脆弱性の発見でいくつかのビッグな発見があった年です。この年にOpenSSLにセキュリティ脆弱性(通称:Heartbleed)が発見され、関係者の注目を集めました。OpenSSLはその後ほかのデベロッパからコードレビューを受けるようになり、そのクオリティなどに疑問を投げかける声が増えた年でもあります。OpenSSLはその後相次いでセキュリティ脆弱性が発見されています。
FreeBSDのベースシステムにはOpenSSLがマージされています。OpenSSLに関するFreeBSDセキュリティアドバイザリの発行件数をグラフにまとめると次のようになります。たしかに、2014年以降、一気に発行件数が増えていることが見えます。
ためしにOpenSSHについてもグラフに出してみました。件数が少ないので関係があるのかどうかよくわかりませんが……。OpenSSLのように2014年以後に一気に増えたといった感じではないように思います。
2014年のセキュリティ脆弱性というと、NTPデーモンをつかった分散サービス妨害攻撃が発生した年としても記憶に新しいところです。NTPデーモンに関するセキュリティ脆弱性がそのあと相次いで発見されました。FreeBSDのベースにもNTPデーモンがマージされています。FreeBSDセキュリティアドバイザリの発行件数をグラフにしてみると次のようになります。たしかに、2014年以降に発行件数が増えたように見えます。
今のNTPデーモンの実装にはいろいろ課題があるという指摘もあり、今後もセキュリティ脆弱性の発見が続く可能性があります。もしかしたらベースに取り込む実装系を別のものにかえることになるかもしれませんが、そのあたりは新しい取り組みやコミットがあったときにその都度ここでお伝えします。
なにはともあれ、セキュリティアドバイザリの発行件数が減る感じではないように見えます。セキュリティアドバイザリが発行されたらアップデートを適用するというのをルーチン化して機械的にこなしてしまうのが1つの作業戦略としてよいのではないかと思います。