水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > JVNで連絡不能製品開発者の一覧を公表

JVNで連絡不能製品開発者の一覧を公表

2011年9月29日(木曜日)

JVNで連絡不能製品開発者の一覧を公表

公開: 2011年10月8日21時50分頃

IPAからこんなプレスリリースが出ていますね……「届出された脆弱性関連情報における連絡不能な製品開発者の一覧を公表 (www.ipa.go.jp)」。

製品開発者と各種の連絡手段を用いて連絡を試み、連絡先が不明または一定期間に渡り全く応答が無い製品開発者については、JVNにて「連絡不能開発者一覧」として公表(製品開発者名または製品開発者を特定できる情報)し、IPA、JPCERT/CCが連絡を求めていることを周知

公表後、一定期間(約3か月)を経過しても応答が無い場合は、製品情報(具体的な対象製品の名称およびバージョン)を追加で公表し、広く製品の関係者からの連絡を求めていることを周知

リストは既にJVNの「連絡不能開発者一覧 (jvn.jp)」で公開されていますので、心当たりのある方は連絡しましょう。

脆弱性が届け出られても、連絡不能で取扱終了になってしまうケースや、連絡に非常に時間がかかるケースなどがあります。パッケージ製品として販売されているものは比較的連絡がつきやすいでしょうが、そうでないものにも脆弱性はあるわけです。

個人的に良く経験しているのは、以下のようなパターン。

このような場合、ウェブサイトの脆弱性ではなく、ソフトウェア製品の脆弱性ということになります。

しかし、この手のフリーCGIの配布元は、個人サイトだったりすることも多いです。サイトの最終更新日が何年か前だったりすることもあり、そうなると「これ連絡つくのか?」と不安に思いつつも届け出るという感じになります。

それでも、意外に連絡はつくものです。おそらくIPAやJPCERT/CCの中の方が頑張っておられるのでしょう。頭が下がります。

しかしまあ、どうしても連絡がつかない場合というのもあるわけで。ウェブサイトの場合、何年か経ったらサイトが閉鎖されていて解決、というパターンが良くあるのですが、ソフトウェア製品の場合はそうも行きません。たとえ配布されなくなっても、古いものが使われ続けている可能性があるからで、うやむやに終わらせるわけには行きません。

というわけで、連絡がつかない人を公開してみて、その後は随時情報を公開していくという方針なのでしょう。今のところ、脆弱性関連情報そのものを公開するというところまでは行ない想定のようですが、将来的にはどうなのでしょうね。

関連する話題: セキュリティ / IPA / JOCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト