脆弱性を通知された側の対応

セキュリティ専門家の間には次のような神話があるそうだ。「ソフトウェアベンダーには、セキュリティの脆弱性を迅速に修復しようとしない、無頓着でのろまな連中しかいない。彼らは、高潔なセキュリティ専門家から『脆弱性を公開するぞ』と脅されて、初めて対策を講じる」

驚くほど素早く修正して、丁寧なお礼の言葉まで述べてくれるケースも確かにありますね。IPA 経由でもお礼を言ってくれる人がたまにいたりして、そういうときは届け出た甲斐があったと思うわけですが。

しかし逆に、完全に放置されるケースも少なからずあるというのは紛れもない事実だと思うわけでして……。