連絡不能開発者一覧
JVN、脆弱性の届け出があったソフトの「連絡不能開発者一覧」公表 (via.N速スレ)

情報セキュリティ早期警戒パートナーシップに基づいて届けられたソフトウェア製品で、インターネット等から入手し得る情報では連絡が取れない、以下の一覧に掲載されている製品開発者、またはその関係者が調査対象です。

フリーソフトだけじゃないみたい?
2chのスレッドでも指摘されているのだが、有名どころではVixの作者(K_OKADA's WebPage 現在サイト無し)が含まれる。
俺もsusieプラグインのテストに使った記憶があるな。
対象ソフトはVixなのかな？今でも窓の杜では元気に配布中。
以前あった、Lzh関係が未修正という事はありうるのかもしれないけど、よくわからず。

しかし、フリーソフトであっても（もう公開してない場合でも）脆弱性を直せ、という圧力がかかる辺り、考えさせられる。
使う側の立場としては修正してもらうのは、当然のリクエストなんだけども
状況的に直せない場合もあろうし、それが公開停止ではダメだというのは厳しすぎる。
「仕様に含まれず、検収時点で想定されてない不具合であっても、何年経とうが対応する事」
という契約は結べないぜ(有償/無償に関わらず、ね)。
まして、無料で作るフリーソフトであるなら、こんな義務を課せられて、誰が提供しようと思うだろうか。

「だからソースを公開すべき」という意見もあるだろうが、公開すれば脆弱性を修正する義務から解放される？
対症療法としてはソース公開は有効だけど、まずは「フリーだろうが脆弱性を修正する義務がある」という所から考えないといけないはず。

# うまくまとまらなかったので、誰かタレこんで～