悪のニュース記事悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。 また、記事に対するコメントや追加情報を投稿することが出来ます。 |
2003年06月06日(金) 11時09分
OISの脆弱性情報開示ルール、30日の守秘義務規定(ZDNet)ソフトメーカーとセキュリティ企業でつくるOrganization for Internet Safety(OIS)は6月4日、脆弱性情報公表のためのガイドラインを発表した(昨日の記事参照)。この提案には、情報開示の時期と方法にまつわる論争を調停する狙いがある。OISのガイドラインでは、ソフトメーカーが研究者から自社のソフトの脆弱性に関する通知を受けた場合、7日以内にそれにこたえ、30日以内にそれを修正するパッチを作成するよう求めている。 その一方で研究者には、パッチリリース後少なくとも30日間は、その脆弱性に関する詳細情報を公表しないよう求めている。 しかしこの規定については一部研究者から異論も出ている。セキュリティ企業eEye Digital Securityのチーフフハッキングオフィサー、マーク・メフレット氏は「詳細な情報が入手できなければ、そのソフトベンダーと信頼できる少数の企業の言葉に頼るしかない。これは良いことではない。こうした一部の関係者たちが正しいことをやっていることを願うのみだ」と話している。(ZDNet) |