プレス発表 届出から1年以上開発者と連絡がとれない“脆弱性”を公開する、新たな運用を開始：IPA 独立行政法人 情報処理推進機構

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、発見・届出された脆弱性のうち、届出から1年以上開発者と連絡がとれないソフトウェア製品の脆弱性が1割弱存在することから、脆弱性情報を公開する、新たな運用を開始しました。 IPAはJPCERT（ジェイピーサート）コーディネーションセンターと共にソフトウェア製品（以後、製品）の脆弱性による被害を低減させるため、「脆弱性関連情報届出制度」を2004年7月から運用しています(*1)。この制度運用において、下記2点が関係者の間で問題視されていました。 ①開発者に連絡がとれないことにより(*2)、指摘された脆弱性の修正パッチ等が提供出来ないこと ②その結果、製品利用者が長期にわたり脆弱性の存在を認識できないまま製品を使い続けてしまうこと そこで、製品利用者の安全確保を第一義とし、“当該製品を使用しないという選択”を可能とするため、「対策情報が

[northlight]

こういうのがあるから大手SIerが必要とされるんだよなあ…

[YUKINOBU]

『2011年9月から「連絡不能開発者一覧」を公表し、開発者との連絡の糸口獲得に努め』『3か月後に「製品情報」を公表し、情報提供を広く求め』『それでも開発者と連絡がとれない場合』／おつかれさまです

[straychef]

知らんがな

[efcl]

“当該製品を使用しないという選択”を可能とするため、「対策情報が提供されていない製品の脆弱性情報」を公表する新たな運用を開始とのこと