脆弱性情報の公表に関する疑問 (ひぐまのひまグ)

――とはいえ、あれから1年という時間が経過していることを踏まえ、少しだけ当時のことについて思うところを記しておこうと思う。 まず1.について。勿論、自分の個人情報と引き換えにユーザーを犠牲にするような対応を取ったのは開発者として許されるものではなかったことは十分認識し反省している。しかし、脆弱性情報を入手するのに個人情報(特に住所・電話番号)の登録が必要だというシステムには若干疑問を覚えたのも事実だ。しかもその後のやり取りの中で実は本家Sageプロジェクトの開発者は製品開発者リストへの登録なしに(氏名とメールアドレス、公開鍵の提出のみで)脆弱性情報が提供されていたことが判明した。同じ機関から同じ情報を得るのに国内と海外とで対応が違うというのは理不尽だと思う。 これに関してはJPCERT/CCに質問状を提出し回答も得ているのだが、公開は望まないとのことなのでここで詳細を記すことは控える。ただ

[highcampus]

Sage使うのやめようかなー

[ardarim]

誰も信用できない。当てにならない。自分がすべてを背負わなきゃならないとはつらいですね。

[cubed-l]

JPCERT/CCに強制力はないはず

[hasegawayosuke]

個人的にはSageはいろいろひどいので捨てた。

[fuktommy]

個人情報の登録は要求されなかったなあ。手順が変わったのだろうか。