バグトラック

Bugtraqはコンピュータセキュリティに関する問題を扱う電子メールメーリングリストでした。話題となるのは、脆弱性に関する新たな議論、ベンダーのセキュリティ関連の発表、悪用方法、そしてその修正方法などです。このメーリングリストは大量の投稿があり、1ヶ月で776件もの投稿がありました^{[ 1 ]。}初期の頃は、ほぼすべての新たなセキュリティ脆弱性がこのリストで議論されていました。このフォーラムは、セキュリティ研究者や製品ベンダーを含む誰もがコンピュータの脆弱性を公開し、議論する場を提供していました。このサービスは正式に終了しておらず、アーカイブは依然として公開されていますが、2021年1月以降、新しい投稿はありません。

Bugtraqは、当時の既存のインターネットセキュリティ基盤、特にCERTの欠陥を認識し、 1993年11月5日にスコット・チェイシン氏^{[ 2 ]}によって設立されました。Bugtraqのポリシーは、脆弱性の完全開示運動の一環として、ベンダーの対応に関わらず脆弱性を公開することでした。このリストはBugTraqと表記されることもありましたが、長年にわたりBugtraqという通称で呼ばれてきました。1995年5月19日までに加入者数は2,500人^{[ 3 ]}に達し、2000年2月には40,000人を超えました^{[ 4 ]。}

アレフ・ワン（基数アレフ1を暗示）として知られるエリアス・レヴィは、インタビューで「当時の環境ではベンダーがパッチを一切作成していなかったため、企業が修正していないソフトウェアをいかに修正するかに焦点が当てられていた」と述べている。レヴィは、Bugtraqをプラットフォーム固有のものとして抽象化し、特定のオペレーティングシステムにのみ関心のある人にとって無関係な情報を減らすという考えを持っていた。^{[ 5 ] [ 6 ]}

Bugtraqは当初、スコット・チェイシンが運営するCrimelab.comでホストされていました。 1995年6月5日、ブラウン大学NetSpaceプロジェクト（後にNetSpace Foundationとして再編）に移管され、同日にモデレーションが開始されました。1999年7月、SecurityFocusの所有となり、同サイトに移管されました。^{[ 7 ] [ 8 ]} SecurityFocusは2002年8月6日にシマンテックに完全買収されました。^{[ 9 ]} 2020年2月25日現在、このリストからのトラフィックは説明なく停止しています。^{[ 10 ]} 2002年には、多くの人がリストが「悪化した」と感じたため、Full-Disclosureメーリングリストが作成されました。 ^{[ 11 ]}

2020年4月30日、アクセンチュア・セキュリティは、Bugtraqを含むSecurityFocusを含むシマンテックのサイバーセキュリティサービスの買収を完了しました。^{[ 12 ]}

このメーリングリストは当初、モデレーションが行われておらず、その後も時折モデレーションが行われるのみで、多くの参加者はそれが不十分だと感じていました。ある事件では、クレジットカードの機密情報と思われる情報が投稿されてしまいました。^{[ 13 ]}その後の投稿では、脆弱性の完全な開示を含む、メーリングリストの多くの側面に疑問が投げかけられ、モデレーションを行わない、あるいはモデレーターが対応方法を変えるべきだという意見が出されました。^{[ 14 ]}

モデレーションは1995年6月5日に開始されました。エリアス・レヴィは1996年6月14日から2001年10月15日に退任するまで、リストのモデレーターを務めました。『Hack Proofing Your Network, Second Edition 』の共著者の一人であるデイビッド・ミルザ・アフマドがレヴィの後任となり、2006年2月23日に退任するまでモデレーターを務めました。 ^{[ 15 ]}アフマドの後任は、シマンテックのDeepSight脅威アナリストであるデイビッド・マッキニーです。現在、モデレーションの任務は別のDeepSightアナリストであるプラサナが引き継いでいます。^{[ 16 ]}

アフマドは在任中、メーリングリストがより多くの「コミュニティの関与」と「BugtraqとSecurity Focusウェブサイトの将来に関する重要な決定を下すためのより民主的なプロセス」を採用することを提案した。^{[ 17 ]}アルフレッド・フーガーによると、フィードバックがあったにもかかわらず、^{[ 18 ]}さらなるコミュニティの関与は実現しなかった。

^{リストのモデレーションは、技術的な問題[ 19 ]}やDDoS攻撃^{[ 20 ]}などにより、何度か遅延が発生しました。また、原因不明の「メールの問題」が原因で、リストへの投稿が消えてしまうこともありました。^{[ 21 ]} 1997年8月、Aleph Oneが休暇中で、モデレーションを任されていた人物がモデレーションを怠ったため、リストは数日間静かになりました。^{[ 22 ]}リストがSecurityFocusに移行し、Symantecが同社を買収した後、週末にモデレーションが行われなくなったため、一部の研究者はリストへの投稿が遅延していることに気づきました。遅延にもかかわらず、これらの投稿の一部から得られた脆弱性情報は、脆弱性データベースを含むSymantecのDeepSight商用サービスで使用されました。^{[ 23 ]}

2000年後半、レヴィがマイクロソフトのセキュリティ勧告の全内容をリストに投稿したところ、マイクロソフトは著作権侵害だと訴えた。^{[ 24 ]}

2020年2月24日現在、シマンテックはBugtraqへの投稿の承認を停止した。^{[ 25 ]}リスト管理者からの最終メッセージやシマンテックからの声明は掲載されていない。これは、シマンテックが管理するBID脆弱性データベースが、ブロードコムに買収される約1か月前の2019年7月26日に公開更新されなくなった後のことだった。^{[ 26 ]} 2021年1月1日、アクセンチュアはBugtraqを閉鎖すると発表した。^{[ 27 ]} 2021年1月15日、リストに最終と思われるメールが送信され、 BugTraqメーリングリストの閉鎖が確認され、「 BugTraqメーリングリストのリソースが優先されていない」と述べられていた。^{[ 28 ]}しかし、コミュニティからのフィードバックに基づいて決定が再検討された。 2021年1月17日、アクセンチュアはBugtraqの継続を発表するメッセージをリストに投稿し^{[ 29 ]}、さらにその目標を説明する長いブログを投稿しました^{[ 30 ]} 。継続の発表はメーリングリストに公開された最後のメッセージとなり、それ以降の活動は公開アーカイブのいずれにも記録されていません。

• SecurityFocus - メーリングリスト(Bugtraq は「最も人気のある」見出しの最初のメーリングリストです)
• BUGTRAQ - 脆弱なサイトトラッカー（初のプロフェッショナルな脆弱なサイトトラッカー）