文:Dawn Kawamoto(CNET News.com) 翻訳校正:株式会社アークコミュニケーションズ、瀧野恒子、國分真人2007年08月23日 16時00分 ソフトウェアのバグはどのように公開されるべきか。最近設立されたあるセキュリティ調査会社のビジネスモデルをめぐって、さまざまな議論が交わされている。 2007年4月にJared DeMott氏が設立したVulnerability Discovery and Analysis Labs(VDA)は、製品中に発見されたセキュリティバグを開発元のソフトウェアベンダーに通知する。この点は他のセキュリティ研究者と変わらない。 次にVDAは、発見したバグや同社のコンサルティングサービスに対する支払いをベンダーに要求する。さもなければ、バグを第三者に売るか、あるいはセキュリティ上の脆弱性について詳細を公表するとベンダーを脅迫する。これはすべて、