Insider's Break
NuGetで.NETライブラリ用のセキュリティ更新プログラムを適用可能に(.NET 4.5.1向け)
海外で注目されているニュースを、日本の技術者向けに。NuGetで能動的にアプリ向けのセキュリティ更新を適用できるように。第1回目のパッチを提供開始。
海外で注目されているニュースがあるので、日本の技術者向けに紹介したい。
.NET NuGetライブラリ用のセキュリティ更新プログラム
Microsoft Update(以下、MU)上のものと同じ「.NETライブラリ用のセキュリティ更新」がNuGet経由で提供されるように、.NETライブラリのNuGetパッケージが拡張された(※この拡張は今年1月に発表され、実際に拡張された.NET NuGetライブラリの最初のリリースが1週間前に公開された)。これにより、エンドユーザーだけでなく、エンタープライズカスタマーにも、世界的に素早くセキュリティ更新が届けられるようになると、マイクロソフトは説明している。
セキュリティ更新については、MUとNuGetの2つの方法で提供されるようになり、MUからユーザーにセキュリティ更新が降ってくるのを待たなくても、NuGetで能動的にアプリ向けのセキュリティ更新を適用できるようになる。
NuGetはこれまでの3年ほどで、.NET Frameworkの各種ライブラリ(「Microsoft.AspNet.Mvc」など)を素早く導入する方法として開発者の間で定着してきた。そういった経緯から、特にエンタープライズ顧客向けのサーバーアプリやデスクトップアプリにおける.NETライブラリのセキュリティ更新を「NuGetパッケージで素早く適用したい」というニーズが高まってきていた。そこでマイクロソフトは、この更新モデルを.NET Framework 4.5.1(以降)に取り込んだというわけだ。
なお、この更新モデルには以下のポリシーが定められている。
- この仕組みは、セキュリティ更新のためだけに使われる
- この仕組みでは、機能変更(breaking changes)は提供されない
- 脆弱(ぜいじゃく)性があるバージョンのアセンブリのみが修正される
現時点で実際に、「ASP.NET MVCの脆弱性に対するセキュリティ更新」がNuGetで配布されている。具体的に以下の4つのNuGetパッケージだ。
- NuGet Gallery | Microsoft ASP.NET MVC 5.1.3
- NuGet Gallery | Microsoft ASP.NET MVC 5.0.2
- NuGet Gallery | Microsoft ASP.NET MVC 4 4.0.40804
- NuGet Gallery | ASP.NET MVC 3 3.0.50813.1
参考文献
- .NET 4.5.1 Supports Microsoft Security Updates for .NET NuGet Libraries - .NET Blog(英語)
- ASP.NET MVC Security Bulletin MS14-059 ships to help secure .NET NuGet Libraries - .NET Blogs(英語)
1. 【現在、表示中】≫ NuGetで.NETライブラリ用のセキュリティ更新プログラムを適用可能に(.NET 4.5.1向け)
海外で注目されているニュースを、日本の技術者向けに。NuGetで能動的にアプリ向けのセキュリティ更新を適用できるように。第1回目のパッチを提供開始。
2. 「Pro相当機能が無料!」と話題になった「Visual Studio Community」の光と“影”
新登場したVisual Studio Communityとは? その狙いやメリットについて概説する。また、「どういった人が使えるのか」という規約上の条件と、規約違反しないための注意点を紹介する。
3. WebエンジニアのためのMicrosoft Edgeリソースガイド
Windows 10で標準ブラウザーが「IE」から「Microsoft Edge」に変わる。それに伴い、IE時代から技術者向けリソースの場所が変わっているので、Edge情報源の場所を押さえておこう。
4. Windowsエクスプローラー特殊Tips【5選】 ― 開発者/クリエイターにおすすめ
特に便利なエクスプローラーTipsを5つ厳選して紹介。「.」で始まるファイルの作成。カレントパスでコマンドプロンプト/PowerShell起動。管理者モードで起動。ファイルのフルパス取得。よく使うフォルダーをアドレスバーから素早く開く。
