BLOGTIMES
2011/10/01

脆弱性情報についての連絡不能開発者一覧を公表

  jpcertcc  ipa 
このエントリーをはてなブックマークに追加

国内の脆弱性情報が集約されている Japan Vulnerability Notes (JVN) から、長期に渡って連絡不能になっている開発者の一覧が公表されています。

 ・連絡不能開発者一覧*1

JVN、脆弱性の届け出があったソフトの「連絡不能開発者一覧」公表 -INTERNET Watch

各種の連絡手段で連絡を試みたが連絡先が不明または一定期間にわたって全く応答が無い製品開発者について、一覧に掲載する。29日時点で50件を掲載している。
開発者名の公表後、約3カ月経過しても応答が無い場合は、具体的な製品の名称・バージョンを追加で公表する。この取り組みを通じて製品開発者に対し、脆弱性が発見された際の連絡先の明示および連絡体制の確立を求めるとしている。

WordPressとかが入っているので、あのWordPressなのかなと思って詳細を見てみようと思ったのですが、報告されただけで脆弱性自体は未公開なのですね。上記のように3ヶ月後に少しずつ内容が公開されていくという流れのようです。

これまでの脆弱性情報の取り扱いは開発者が対応してくれるというが前提で、その上でじゃあその情報をいつ公にするかというのが問題だったわけですが、連絡がとれないもしくは対処されないとなると難しい問題ですね。


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/4482
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン