5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【セキュリティ】脆弱性の情報公開めぐりMSが姿勢を転換――「責任」から「協調」へ(10/07/23)

1 : ◆amidaMovTg @あみだくじψ ★:2010/07/23(金) 22:08:14 ID:??? ?2BP(100)
 米Microsoftは7月22日、脆弱性の情報公開の在り方に関する姿勢を転換すると発表した。これまで外部の研究者などに「責任ある公開」
を求めてきた立場を改め、今後は「協調的な脆弱性情報公開(CVD)」を追求する。

 未解決の脆弱性の情報公開をめぐっては、6月にGoogleのセキュリティ研究者がWindowsの脆弱性情報をMicrosoftのパッチ提供前に
一般公開して物議を醸した。続いてMicrosoftに反発するグループが情報の全面開示を宣言。そのたびにMicrosoftは、「情報はまず
ベンダーに非公開で通報すべきだ」とし、「責任ある開示」を主張した。全面開示の必要性を訴える研究者などとの間で論争が続いてきた。

 今回の同社の姿勢転換には、こうしたセキュリティ研究者との関係の在り方を変える狙いがある。新しいCVDのアプローチでは、
情報公開におけるセキュリティ研究者とベンダー、業界の協力態勢に重点を置く。

 具体的には、セキュリティ研究者などがソフトウェアやサービスの新たな脆弱性を発見した場合、まずその製品のベンダーやCERTに
非公開で通報し、脆弱性情報を一般に公開する前に、ベンダーが調査する機会を与えると規定。既にその脆弱性を突いた攻撃が発生
している場合は、ベンダーと発見者ができるだけ緊密に連携して早期の情報公開を目指す。

 このアプローチは、実際には従来の「責任ある公開」の立場とそれほど大きな違いはなく、依然として「責任」は必須になるとMicrosoft
は強調する。ただしこの責任は研究者やベンダー、セキュリティソフトメーカーなどコミュニティー全体で分かち合うものになると説明して
いる。

 Microsoftのセキュリティ担当者は、「このアプローチに基づいて協力してほしい」と研究者に呼び掛け、「これはコミュニティーとの対話
の道を開くものであり、フィードバックを歓迎する」と述べている。

http://www.itmedia.co.jp/enterprise/articles/1007/23/news022.html

2 :名無しさん@お腹いっぱい。:2010/07/23(金) 22:45:37 ID:???
一連の流れで見ると分かりやすいな

http://pc11.2ch.net/test/read.cgi/pcnews/1277304721/86-87

3 :名無しさん@お腹いっぱい。:2010/07/25(日) 00:46:25 ID:J4DMtWn1
ベンダーへドライバーソフト開発の自由を与えたら
デジタル署名の氾濫が起きて、そこにウィルスがつけ込んだんだろ。

3 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)