「XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会」を読んで。 IPAを通じて脆弱性の報告が来るということは、脆弱性の発見者がセキュリティ専門家だったりするため、対策が取られるまで公開されないことが予測できる。つまりIPAから脆弱性の報告が来る=緊急ではないという図式が成り立ってしまう!!XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会よりううむ。個人的には、脆弱性を発見した場合にはむしろ専門家以外の素人ほどIPAを通じて報告するほうがよいと思っている。理由は以下の通り。 連絡先の把握が困難 Webサイトにもよりますが、脆弱性報告のための窓口を用意しそれを明確に示しているWebサイトはあまり多くはありません。そのような連絡先をサイトごとに逐一探すくらいであれば、IPAに連絡するほうが手間が圧倒的に少なくて済みます。また、一般的な問い合わせ窓口