「セキュリティアップデートの報告は内容が分かるようにしてほしい」へのコメント

F2 (2008年8月19日 20時16分)

インフラ化したMS製品はともかく、シェアが低い製品だと効果が見えないぶんリソースを割いて貰えないでしょうね。

ドキュメント整備好きのエンジニアなんて見かけませんし。

ばけら (2008年8月20日 13時44分)

>インフラ化したMS製品はともかく、シェアが低い製品だと効果が見えないぶんリソースを割いて貰えないでしょうね。

>ドキュメント整備好きのエンジニアなんて見かけませんし。

　そうですね。

　ただ、脆弱性発覚時のサポートが良い/悪いというのは製品を選定する際の基準にもなり得るだろうと思います。

　セキュリティアップデートの内容が分かりにくい製品は、顧客に勧めにくいですし……。

　とはいえ、お値段がぜんぜん違ったりすると結局選定されちゃうのですが。

　あと、「ベンダーのWebサイトが使いにくすぎて情報にたどり着けない」というケースもあったりします。

　特に個人サイトで配布しているフリーCGIプログラムみたいな奴だと、セキュリティ情報の場所が分かりにくいことが多いですね。

　そういう場合、JVNで情報公開されると多少は使いやすくなるのではないかと。

# 自社で発見して自主的に修正したものであっても、JVN で情報公開できるはずなのですよね。

# JVN も、ベンダーに対して「JVNでセキュリティ情報を公開しませんか?」という営業をしても良いのではなかろうか……。