- blogs:
- cles::blog
2010/07/25
脆弱性の公開はどうあるべきか
マイクロソフトの脆弱性対応・公表のポリシーがCVD(Coordinated Vulnerability Disclosure)というものになるようです。このあたりは、MSに限らずどこでも何かしらでもめているところではあると思うのでメモ。
脆弱性の情報公開めぐりMSが姿勢を転換――「責任」から「協調」へ - ITmedia エンタープライズ
米Microsoftは7月22日、脆弱性の情報公開の在り方に関する姿勢を転換すると発表した。これまで外部の研究者などに「責任ある公開」(Responsible Disclosure)を求めてきた立場を改め、今後は「Coordinated Vulnerability Disclosure」(CVD=協調的な脆弱性情報公開)を追求する。
未解決の脆弱性の情報公開をめぐっては、6月にGoogleのセキュリティ研究者がWindowsの脆弱性情報をMicrosoftのパッチ提供前に一般公開して物議を醸した。続いてMicrosoftに反発するグループが情報の全面開示を宣言。そのたびにMicrosoftは、「情報はまずベンダーに非公開で通報すべきだ」とし、「責任ある開示」を主張した。全面開示の必要性を訴える研究者などとの間で論争が続いてきた。
原文は「Announcing Coordinated Vulnerability Disclosure」とか、「Coordinated Vulnerability Disclosure: Bringing Balance to the Force」になるのでしょうか。
具体的な対応のステップは下記の3つになっていて、内容はそれほど目新しくはなさそうです。Step2の内容が強化されたということでよいのかな。
Step 1: Keep it Private, Keep it Safe
Step 2: Hurry Up and Wait
Step 3: Coordinated Public Disclosure
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/3691
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
サイト内検索
検索ワードランキング
へぇが多いエントリ
閲覧数が多いエントリ
1 . アーロンチェアのポスチャーフィットを修理(114424)
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(112946)
3 . 年次の人間ドックへ(112372)
4 . 2023 年分の確定申告完了!(1つめ)(111941)
5 . 三菱鉛筆がラミーを買収(111815)
2 . 福岡銀がデマの投稿者への刑事告訴を検討中(112946)
3 . 年次の人間ドックへ(112372)
4 . 2023 年分の確定申告完了!(1つめ)(111941)
5 . 三菱鉛筆がラミーを買収(111815)
cles::blogについて
Referrers
22042308
(W:5446 Y:2075 T:1131)
