JPCERT/CCとの「脆弱性情報ハンドリング」の記録 : DSAS開発者の部屋

■ はじめに 「△△製のソフトウェア××に脆弱性が発見された」というニュースが連日のようにネットの上を行き交っています。 このブログの読者にはプログラム開発者の方も多いと思いますが、 自分の携わるソフトウェアの脆弱性を第三者から指摘された経験のある方はどのくらいおられるでしょう？ 先日、筆者は「HttpLogger」というフリーソフトウェアのセキュリティホールを修正しました。 そのきっかけとなったのはJPCERT/CC（有限責任中間法人 JPCERT コーディネーションセンター）様から届いた 一通のメールでした。 それから私は同センターと連携し、10日余りの準備期間を経て修正ずみのモジュールの公開と 旧バージョンにおける脆弱性情報の開示を行いました。 この「脆弱性情報ハンドリング」と呼ばれるプロセスに関わったことは、一般的な知名度とは裏腹に 普段あまり身近な存在ではない「JPCERT/CC

[kaito834]

「JPCERT/CCとの「脆弱性情報ハンドリング」の記録」。JPCERT/CC から脆弱性報告を受けた開発者がそのやり取りをまとめ公開したものらしい。via http://togetter.com/li/55216

[webmarksjp]

脆弱性

[nitoyon]

脆弱性報告された側の対応。かなり大変そう。←ライバル会社の脆弱性を報告しまくって開発をストップさせるDoS攻撃、なんてのもありかもしれない。

[d6rkaiz]

[JPCERT/CC]

[ume-y]

こちらも参照→http://takagi-hiromitsu.jp/diary/20080122.html#p01

[staki]

なんか重いプロセスだなあ。少し圧縮できそう。それはともかく脆弱性公開までの抑えるポイントのチュートリアルとしても良いかも。本来本家がノウハウを展開すべきと思うけど。脆弱性報告は専売特許じゃないし

[kaiton]

JPCERT/CCと実際のやりとりが記録されていて興味深い

[cubed-l]

これはリファレンスになる

[fuktommy]

やはり対個人と対企業では気合の入れ方が違うんだなあ。http://blog.fuktommy.com/1188918000

[kuenishi]

ライセンスにもよるだろうけど、GPLとかならそんなことする義務ないんじゃないの？

[hasegawayosuke]

すばらしい対応姿勢。

[tknzk]

[JPCERT/CC][セキュリティ]

[mi1kman]

[JPCERT/CC][IPA][開発][参考になる][すばらしい対応][ベストプラクティス]企業の開発者がこういう内情を公開するのは比較的珍しいケースだけど，他の開発者の参考になってとても良いと思う．参考(同様の例) http://www.shudo.net/diary/2007mar.html#20070329

[mainyaa]

こんなことあるんだ。

[yappo]

おれもJPCERTから連絡来て直してあるけど、めんどくさくて最後の手順とかもうやってない

[ihag]

JPCERT/CCからの脆弱性情報の提供から，修正版作成と公開までの記録．ベンダ側の視点．これは参考になる．