1日目のバグという用語は何を意味しますか?
最近、メールチェーンでこの用語を見つけました。 ゼロデイバグ という用語があり、MicrosoftとAdobeが最有力候補であることをGoogleは教えてくれます:)
day one bugのような用語はありますか?それはどういう意味ですか?
1日目のバグは regression ではない欠陥です。欠陥は機能が実装されたその日からそこにありました。以前のリリースで出荷されたため、顧客からの苦情が多くないため、欠陥の優先度は低いと主張するために使用されます。
引用:
Neohapsis> Archives> Compaq Product Updates> 2001-q4
日付-2001年11月以前このday-oneバグは、PATHWORKSの最新リリースまで休止状態でした。古いバージョンのPATHWORKSでは、ルーチンが同時に入力されることのないような状況でした。ただし、新しいリリースではPWIPへの呼び出しが異なり、バグが公開されています...
CiscoのクロスプラットフォームリリースノートIOSリリース12.2SR:12.2(33)SRBの警告...
日付- 2008年5月?CSCsl27236 ...は1日目のバグであり、表面化したばかりです。顧客はこれを強いストレス条件下で発見しました...
[[security-dev 01487]:JDK6でのOCSPの問題 -OpenJDKメールアーカイブ
日付-2010年1月変更セット:95e9083cf4a7 ...要約:この1日目のバグは、失われる可能性のあるさまざまなParker :: park()パスにメモリバリアがないために発生しますウェイクアップとハング...
「1日目」のバグは、「回帰」または最近導入されたバグと比較して、長い間(1日目がソフトウェアの作成日)のバグです。初めて報告されたばかりの問題を分析する場合、最も可能性の高い問題の原因として、ソフトウェアに対する最近の変更に焦点を当てることが一般的です。しかし、いくつかのバグは、気付かれることなく、魅力的な人生を送り、何年も(あるいは何十年も)眠っています。開発者としての私の経験では、1日目のバグは通常、損傷を修復したり、バグが実行されないようにする他のソフトウェアによってマスクされています。一見無関係な変更により、これらの「補償要素」の1つが削除され、元のバグが最終的に現れて気付くことができます。 2012年に、1986年に作成したコードにバグが見つかりました。これは、最初のクラッシュの前に、何百ものインストールで数兆ものトランザクションではなく、何十億ものトランザクションを処理していました。私は数日かけて、そのバグが本当に初日であることを(精巧なテストを作成することによって)納得させました。
「ゼロデイ」という用語は、はるかに古い「初日」とはまったく無関係です。
ウィキペディアの状態
「ゼロデイ」攻撃は、開発者の認識の最初または「ゼロ」日の前またはその前に発生します
この定義では、1日目のバグは、エクスプロイトが開発された1日目は、開発者の認識の2日目でしょうか?
ただし、 Infoworld.com から
ゼロデイバグは、パッチが適用されていないか公開されていない脆弱性です。
さらに、イミュニティのCEOであるJustine Aitel氏は、
「バグが公開されるとdie、公開されるとdieパッチを当てた」
この定義から、「1日のバグ」は意味のない用語であると推測できると思います。または、パッチが公開されているが、ユーザーがパッチを適用していないものと言えるでしょう。
その表現を使った人に聞いてください。一般的に合意された定義が存在するために十分に使用されるわけではありません。
「ゼロデイエクスプロイト」とは、ソフトウェアの開発者(またはセキュリティコミュニティ一般)が0日間(つまり、まだ)知っていたセキュリティエクスプロイトであり、修正はありません。これから推定すると、「1日のエクスプロイト」は今日一般に知られるようになるものです。そのため、開発者とユーザーが迅速に行動する場合、いくつかのシステムにはすでにパッチが適用されている可能性があります。
しかし、その外挿は必ずしも正しいわけではなく、式はゼロデイエクスプロイトとは何の関係もない可能性があります。ブライアンの答えは、実際にはもっとありそうに聞こえます。これで最初の段落に戻ります。