Herokuのユーザーは、PostgreSQLデータベースシステムの主要セキュリティーホールを修正する重要なアップデートをいち早く利用できる。一般のPostgreSQLユーザーは、木曜日(米国時間4/4)にアップデートが利用可能になる。
Herokuの声明は以下の通り:
Heroku Postgresデータベースに、月曜日(4月1日)から水曜日(4月3日)にかけて小規模だが重要なアップデートを適用する。アップデート中データベースは約60秒間オフラインになり、その後再起動される。本アップデートの性格上、正確な時間を定めることはできない。修正が必要なデータベースに対する個別の通知は送らない。
先週木曜日、PostgreSQLサイトは、4月4日にアップデートを発行し、そこには重大なセキュリティー脆弱性の修正が含まれているという声明を発表した。利用者はできるだけ早くこのアップデートを適用するよう同サイトは強く推奨している。
私はHerokuの広報チームに、なぜ強制アップデートを行うのか、および最初に適用される理由を尋ねたが、まだ回答はない。
Hacker Newsのコメント人たちは、早期アクセスの理由はでPostgreSQLデータベースを利用しているHerokuユーザーの数が膨大だからだろうと言っている。
しかしこの特権は、PostgreSQLのセキュリティー、および誰が早期に利用できるかに関する同社のポリシーに疑問を投げかけるものでもある。
Hacker Newsのあるコメント人がこう言っている。
一方でPostgreSQLは、同じようにセキュリティーを非常に深刻に捉えている数多くの会社を待たせている。これは、PosgreSQLの使用を考えている会社に「セキュリティー修正をすぐに受けられるのか,それともより重要なユーザーが早期に利用している一方で故意に危険に曝されるのか?」を考えなくてはならない状況を作り出している。私にはよい前例だとは思えない。
これはHerokuにとって異例の行動であり、クラウドのセキュリティーが重大問題であることを示す顕著な例だ。Herokuのような会社がこうした強制アップデートを発行することは稀で、その殆どはプラットフォームに対する主要なアップデートだ。しかし今回のようなセキュリティー脆弱性はプラットフォーム全体に影響を与ぼす可能性がある。
[原文へ]
(翻訳:Nob Takahashi)