水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 早期警戒パートナーシップの感想とか?

早期警戒パートナーシップの感想とか?

2005年6月15日(水曜日)

早期警戒パートナーシップの感想とか?

IT Pro にこんなのが出ていますね……「セキュリティ向上への地道な試み「早期警戒パートナーシップ」を知っていますか? (itpro.nikkeibp.co.jp)

さすがに最近ではベンダーの意識が高くなり,上記のような対応をするベンダーは少なくなったと感じている。多くのベンダーはセキュリティ情報や修正版(修正プログラム)を公表するようになっている。セキュリティ・ホール情報の受付窓口を用意しているベンダーもある。

以上、セキュリティ向上への地道な試み「早期警戒パートナーシップ」を知っていますか? より

これはソフトウェア製品の話であって、ウェブアプリケーションの話ではないですよね。ウェブアプリケーションについては、現在でもユーザへの報告無しのヤミ改修が主流だと思いますので。

この制度では,セキュリティ・ホールの発見者が報告しやすい。開発者や運営者と直接やり取りしないので,無視されたり恫喝されたりする心配がない。犯人呼ばわりされる恐れもない。実際,この制度でセキュリティ・ホールを報告した経験がある方に話を聞くと,「直接連絡をとらなくてよいので楽だ」とのこと。その方は,この制度が始まる前から,ベンダーなどに何度か報告したことがある。具体的には聞けなかったが,直接連絡をとると,何かと苦労があるという。

以上、セキュリティ向上への地道な試み「早期警戒パートナーシップ」を知っていますか? より

私個人の感想を付け加えると、複数のベンダに影響する問題について調整してもらえるのが非常にありがたいと思いました。たとえば、JVN#FCAD9BD8 (jvn.jp) の届出には Shuriken と Outlook Express の名前しか出ていませんが、公開時には他の製品もたくさん名を連ねていました。それらは IPA や JPCERT/CC の方が独自に調査して連絡してくださったものに違いありません。個人が大量の MUA を調達して検証するのは難しいですし、こういう対応をしてもらえるのはありがたいです。

※ただ、その過程の情報が届出者のところにぜんぜん来ないのはどうかと思います。「○○の開発者にも連絡しました」というような報告があっても良さそうなものだと思いますが。

もっとも、これまたソフトウェア製品に限った話なのでして、ウェブアプリケーションの方はまた別な感想があったりなかったり。

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト