高木浩光＠自宅の日記 - 脆弱性情報公表の自由 〜 コントロールを取り戻せ

■ 脆弱性情報公表の自由 〜 コントロールを取り戻せ 今日は日弁連のシンポジウムでいつもの話をしてきた。明日からSCIS 2008に行く。 ところで、先週、次のブログエントリが話題になっていた。 JPCERT/CCとの「脆弱性情報ハンドリング」の記録, DSAS開発者の部屋, 2008年1月17日 私は「脆弱性研究会」の委員を務めているから内部の人と思われるかもしれないが、現場の業務に携わっていないし、研究会の席でもJPCERT/CCが製品開発者とどんなやりとりをしているかはあまり聞かされないので、上のような事例の公表はたいへん参考になる。 これを拝見して気になったのが次の点だ。 JPCERT/CCが脆弱性情報をハンドリングすることの目的は「脆弱性関連情報を必要に応じて開示することで、脆弱性情報の悪用、または障害を引き起こす危険性を最小限に食い止める」ことにあるため、三者が足並みを揃えて向

[dosequis]

脆弱性はどのように公開すべきか

[Kazabana]

完全な情報公開を。そういえば英語版のwikipediaにFull disclosureがあったけど、日本語版にもそういう項目が必要かも。Full_disclosure（computer security）→http://en.wikipedia.org/wiki/Full_disclosure

[Phinloda]

[JPCERT/CC]

[send]

隠されると参考にして固めることが出来ない

[mi1kman]

[JPCERT/CC][思考停止][考えさせられる][例えば●●を避ける]事実ならひどいなぁ/(プロトコルや暗号アルゴリズムの脆弱性を見つけたら)例えば届出制度を避ける/「私の昔からの感触ではJPCERT/CCの連中に技術者の魂を感じない。事務屋としか感じない。」

[cubed-l]

言われてみればその通り、って情けないコメントだな

[sankaseki]

[!GTD::資料(いつか読む)]高木浩光＠自宅の日記 - 脆弱性情報公表の自由 〜 コントロールを取り戻せ

[andalusia]

同意。／ しかしながら、IBM臭のするタイトルだなぁ。

[ume-y]

「「詳細な情報は公表日以降も機密として扱わなければならないと先方から説明を受けた」という話が事実であるなら、極めて罪作りな話である。やめてもらわなければならない」

[hasegawayosuke]

加えていうなら、複数製品に影響を及ぼす脆弱性こそ、主要製品の対応が完了した時点で詳細を公表してほしい。同様の脆弱性を潜在的に持った製品が他にも存在するであろうし。

[ockeghem]

『コントロールを取り戻せ』

[sho]

こんなにクダクダ言わなくても、公表と修正が一体化しているFOSSを例示すればいいだけじゃないか。