オープンソースな製品でどうセキュリティバグをハンドルするか?Life with Web Browser Engine (Gecko, WebKit and etc), Mobile and etc. 自分がFirefox 26で直した話でSecurity Bugとしてマークされているのがあったんだけど、それの話。バグ自体は、CVE番号は振られているけどただのクラッシュなのでSecurity Advisoriesには載ってないものね。 今までもたまにSecurity bug自体は直してたり (面倒であればバグを登録。最近もした) するんだけど、ほとんどの場合はリリース版になっていないベータとかTrunkのものでの話のバグを直すことばかりなので現在のプロセスに疎いことがあるんだけど (今の日本のオフィスで働いている人達に、いまってこういうプロセスになってたって知ってた?って聞いたら、「えっ?」って言わたのは内緒)、こんな感じで対応する。 commit時
