パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

マイクロソフトが日本語による脆弱性報告窓口を開設」記事へのコメント

  • by Anonymous Coward on 2004年02月25日 22時27分 (#502709)

    マイクロソフトの今回の措置は評価に値すると思う。

    今回の窓口の開設は、単に専用の連絡先を設けた以外の何物でもないのではないでしょうか。

    脆弱(ぜいじゃく)性の報告を行なうにあたってなくてはならない、「報告者の免責保証」や「報酬や謝礼の有無」に全く触れられていないのが残念なところです。

    前者は報告者が自分の個人情報を公開することによって自らが裁判の場に引きずり出されかねない心配を防ぐため、後者は「ただの無償奉仕デバッガ」を防ぐために必要な対策であると思います。
    特に後者について言えば、報告やその後の共同作業の結果作成されたパッチなりサービスパックなりも製品構成の一部として「販売」されるわけですから、何らかの形での謝礼は必要であると思います。

    • by Henrich (121) on 2004年02月26日 0時31分 (#502795)
      > 今回の窓口の開設は、単に専用の連絡先を設けた以外の何物でもないのではないでしょうか。

      大きな組織になればなるほど、適切な所が適切に処理するまでに到るのが
      難しくなるものです。専用の連絡先が明確になるだけで大きなメリットがある
      というのには思い至らないのでしょうか。

      >特に後者について言えば、報告やその後の共同作業の結果作成されたパッチなりサービスパックなりも製品構成の一部として「販売」されるわけですから、何らかの形での謝礼は必要であると思います。

      まぁ、考え方は人それぞれですから貴方の場合は要求してみればいいのでは?

      #ただ一歩間違うとYBBの件のように脅迫になりそうですけどね ;-)
      親コメント
    • >後者は「ただの無償奉仕デバッガ」を防ぐために必要な対策であると思います。

      ごめんなさい。何度読み返してみても「防ぐ必要性」がわからなかった。
      たとえば、パッチがリリースされるまで(脆弱性について)黙っていてください、ということでしょうか?
      「ただの無償奉仕デバッガ」が、欠陥をすぐに公開する(それがセキュリティ問題につながる)ことを懸念しているのでしょうか?

      全ての「ただの無償奉仕デバッガ」が報酬を求めているとは思えないんですが。
      #少なくとも、私が某ソフトの開発者に「欠陥を修正するパッチ」を送ったのは、「リリースの度にパッチを当てるのがめんどくさい」ということが動機だった。
      親コメント
    • 別にタダだっていいじゃん、安全なOSに近づくなら。

      そのためにlinuxだってヲタが毎晩コネくりまわしていじってるんでしょ?タダで。
    • ソフトのバグ報告をしても謝礼をもらえるという話はあまり聞いたことがないのですが、脆弱性だけは特別視するのでしょうか?

      #あるコンパイラで非常に基本的な構文が正常に動作しないので
      #メーカーに問い合わせたらバグを認めたものの「サポートの契約を
      #してないから修正版は渡せない」と言われた・・・。
    • > 脆弱(ぜいじゃく)性の報告を行なうにあたってなくてはならない、「報告者の免責保証」や「報酬や謝礼の有無」に全く触れられていない

      前者はともかく、後者はあるところの方が珍しいんだが。
      (あるところの具体例を*沢山*挙げてくれ、そうでないと「なくてはならない」と言い切る理由にならんぞ)
      あんたが「あったほうがいい」と考えるのは勝手だが、それは「なくてはならない」という理由には
    • 昔、バグ報告したらユーザーサポート料金を取られたと言う話を聞いたことが。
      都市伝説であることを望む。
    • ここ [impress.co.jp]やここ [impress.co.jp]を読めばわかると思いますが
      今回の件は「脆弱性の定義」と「日本語による脆弱性報告窓口の
      開設」の2つが組み合わさっています。

      脆弱性とは欠陥ではないと断言できる東くんの度胸に免じて
      そこは突っ込まないとしてマイクロソフトの定義としては「製品
      出荷後に悪意のある人が悪意のある方法で見つけるもの」

      なってます。その脆弱性を日本語で報告出来る窓口が今回のです。
      つまりこの2つをつ

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...