アカウント名:
パスワード:
JP-CERT/CC [jpcert.or.jp]に連絡しようともしてない時点で、うーむ。
Twitterでも勘違いしてる人いましたけど、脆弱性報告の窓口になっているのはIPA(情報処理推進機構) [ipa.go.jp]です。そこから調整機関であるJPCERT/CCが対象企業にコンタクトを取る形になっています。
ただ、近年は脆弱性報告に対する社会の認知が改善されてきた(犯罪者扱いされたりしない)ことや、大量の報告でJPCERT/CCがパンクしそうになったこともあり、可能であれば発見者が直接対象企業に報告することを推奨する方向に変わってきています。今回はNUROテクニカルセンター経由で報告できているので、結果的にIPAやJPCERT/CCを通じた報告は必要なかったと思います。
ちょっと引っ掛かるのが、真っ先にHackerOneを確認して、Huawei's Vulnerability Disclosure Policy [hackerone.com]を見て諦めている所ですね。Sony - Vulnerability Disclosure Program [hackerone.com]も用意されていて、記事にはスクリーンショットも載っているのですが、対応する文章がありません。脆弱性報告に関しては素人っぽさを感じるのは確かです。
IPAは岡ちゃん事件があってから関わりたくない、近づきたくない組織なんで
それな。IPA, JPCERTがセキュアであるって保証はどこにもない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
JP-CERT/CCを知らないのか (スコア:0)
JP-CERT/CC [jpcert.or.jp]に連絡しようともしてない時点で、うーむ。
Re:JP-CERT/CCを知らないのか (スコア:4, 参考になる)
Twitterでも勘違いしてる人いましたけど、脆弱性報告の窓口になっているのはIPA(情報処理推進機構) [ipa.go.jp]です。そこから調整機関であるJPCERT/CCが対象企業にコンタクトを取る形になっています。
ただ、近年は脆弱性報告に対する社会の認知が改善されてきた(犯罪者扱いされたりしない)ことや、大量の報告でJPCERT/CCがパンクしそうになったこともあり、可能であれば発見者が直接対象企業に報告することを推奨する方向に変わってきています。今回はNUROテクニカルセンター経由で報告できているので、結果的にIPAやJPCERT/CCを通じた報告は必要なかったと思います。
ちょっと引っ掛かるのが、真っ先にHackerOneを確認して、Huawei's Vulnerability Disclosure Policy [hackerone.com]を見て諦めている所ですね。Sony - Vulnerability Disclosure Program [hackerone.com]も用意されていて、記事にはスクリーンショットも載っているのですが、対応する文章がありません。脆弱性報告に関しては素人っぽさを感じるのは確かです。
Re:JP-CERT/CCを知らないのか (スコア:1)
IPAは岡ちゃん事件があってから関わりたくない、近づきたくない組織なんで
Re:JP-CERT/CCを知らないのか (スコア:1)
それな。IPA, JPCERTがセキュアであるって保証はどこにもない。