グーグル、深刻な脆弱性は60日以内に修正するようベンダー各社に要請 - セキュリティ - ZDNet Japan
Googleはソフトウェアメーカーに対し、深刻な脆弱性の修正に60日という期限を設けるよう求めるとともに、期間内に修正されない場合はGoogleが脆弱性の情報を公開すると警告している。 Googleのセキュリティチームは、米国時間7月20日付のブログ投稿の中で、同社がソフトウェアベンダーとの間で定めている「行動規則」(rules of engagement)に加えた変更点を説明した。この行動規則は、同社がベンダー各社に脆弱性を報告する方法とタイミングについて定めたものだ。同チームは、セキュリティの専門家が「責任ある開示」のポリシーに従うことは、必ずしもエンドユーザーにとって最善の策にならないと主張している。このポリシーの下では、脆弱性は非公開のままベンダーに報告され、報告した側の研究者は、当のセキュリティホールが修正されるまで詳細情報を一般に公開せず待つことになる。 Googleのセキュリ
脆弱性情報に対する報酬は--セキュリティ研究者はどう振る舞うべきか
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎、編集部2010年07月13日 18時50分 Michal Zalewski氏によるゲスト寄稿 わたしには、これは単純なことに思える。セキュリティ研究コミュニティに公然と参加することには、同業者からの認知と就職の機会という恩恵がある。また、趣味としてそれを行うことには、他のことをしていれば得られたはずの潜在所得を失うというコストもある。一旦自分の名声を築いてしまうと、一部の人はこの恩恵はもはやコストに見合わないと判断して、金銭にならないプロジェクトに時間を割くのをやめる。簡単なことだ。 しかし、尊敬すべき同業者の何人かは、違うことを考えている。2009年に、Alex Sotirov氏、Charlie Miller氏、Dino Dai Zovi氏は、無報酬のバグはあるべきではないと発言した。Mill
JPCERT/CCがCNAに認定:脆弱性情報に独自判断でCVE番号を付与
一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月24日、CVE(Common Vulnerabilities and Exposures)を管理運営する米MITRE社が、6月23日付けでJPCERT/CCをCNA(CVE Numbering Authority:CVE採番機関)に認定したと発表した。同日よりJVNにおいて、CVE互換ロゴを掲示する。 この認定によりJPCERT/CCは、国内のパートナーシップや海外から報告された脆弱性関連情報に対し、自らの判断でCVE番号を付与できるようになる。「CVE番号」は、多くの情報公開サイトなどにおいて、それぞれ独自の識別子によって公開される脆弱性情報の同一性を確認するための判断材料として広く利用されているもの。 脆弱性情報を公開する際にCVE番号を表示することにより、脆弱性情報の収集を行っているシステム管理者やユーザ
高木浩光@自宅の日記 - 適切な脆弱性修正告知の習慣はなんとか広まらないものか, 「はてなツールバー」がHTTPSサイトのURLを平文のまま送信していた問題,..
■ 適切な脆弱性修正告知の習慣はなんとか広まらないものか 2日の日記の件について、伊藤直也さんからトラックバックを頂いた。話は2つに分ける必要がある。1つ目は、一般にソフトウェア開発者・配布者が、配布しているソフトウェアに脆弱性が見つかって修正版をリリースしたときに、ユーザに伝えるべきことは何か、また、どのような方法で伝えるべきかという話。2つ目は、JVN側の改善の余地の話。 1つ目の話 はてなは以前から、Webアプリに脆弱性の指摘があって修正した場合、それを「はてな○○日記」で事実関係を公表してきた*1。これは、他のWebサイトの大半がそうした公表をしていない*2のと比べて、先進的な対応であると言える。 しかし、今回のはてなツールバーの脆弱性は、Webアプリの脆弱性ではなく、「ソフトウェア製品の脆弱性」である*3。一般に、Webサイトの脆弱性は、修正した時点でその危険性は解消するという性
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
