早期警戒パートナーシップの感想とか?
2005年6月15日(水曜日)
早期警戒パートナーシップの感想とか?
IT Pro にこんなのが出ていますね……「セキュリティ向上への地道な試み「早期警戒パートナーシップ」を知っていますか? (itpro.nikkeibp.co.jp)」
さすがに最近ではベンダーの意識が高くなり,上記のような対応をするベンダーは少なくなったと感じている。多くのベンダーはセキュリティ情報や修正版(修正プログラム)を公表するようになっている。セキュリティ・ホール情報の受付窓口を用意しているベンダーもある。
これはソフトウェア製品の話であって、ウェブアプリケーションの話ではないですよね。ウェブアプリケーションについては、現在でもユーザへの報告無しのヤミ改修が主流だと思いますので。
この制度では,セキュリティ・ホールの発見者が報告しやすい。開発者や運営者と直接やり取りしないので,無視されたり恫喝されたりする心配がない。犯人呼ばわりされる恐れもない。実際,この制度でセキュリティ・ホールを報告した経験がある方に話を聞くと,「直接連絡をとらなくてよいので楽だ」とのこと。その方は,この制度が始まる前から,ベンダーなどに何度か報告したことがある。具体的には聞けなかったが,直接連絡をとると,何かと苦労があるという。
私個人の感想を付け加えると、複数のベンダに影響する問題について調整してもらえるのが非常にありがたいと思いました。たとえば、JVN#FCAD9BD8 (jvn.jp) の届出には Shuriken と Outlook Express の名前しか出ていませんが、公開時には他の製品もたくさん名を連ねていました。それらは IPA や JPCERT/CC の方が独自に調査して連絡してくださったものに違いありません。個人が大量の MUA を調達して検証するのは難しいですし、こういう対応をしてもらえるのはありがたいです。
※ただ、その過程の情報が届出者のところにぜんぜん来ないのはどうかと思います。「○○の開発者にも連絡しました」というような報告があっても良さそうなものだと思いますが。
もっとも、これまたソフトウェア製品に限った話なのでして、ウェブアプリケーションの方はまた別な感想があったりなかったり。
- 「早期警戒パートナーシップの感想とか?」にコメントを書く
関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): メモ : URL にセッションが入ってしまっている場合の自衛策
- 次(新しい): ニュースサイトのアクセス性