アカウント名:
パスワード:
マイクロソフトの今回の措置は評価に値すると思う。
今回の窓口の開設は、単に専用の連絡先を設けた以外の何物でもないのではないでしょうか。
脆弱(ぜいじゃく)性の報告を行なうにあたってなくてはならない、「報告者の免責保証」や「報酬や謝礼の有無」に全く触れられていないのが残念なところです。
前者は報告者が自分の個人情報を公開することによって自らが裁判の場に引きずり出されかねない心配を防ぐため、後者は「ただの無償奉仕デバッガ」を防ぐために必要な対策であると思います。 特に後者について言えば、報告やその後の共同作業の結果作成されたパッチなりサービスパックなりも製品構成の一部として「販売」されるわけですから、何らかの形での謝礼は必要であると思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
評価に値するかどうか? (スコア:1, すばらしい洞察)
マイクロソフトの今回の措置は評価に値すると思う。
今回の窓口の開設は、単に専用の連絡先を設けた以外の何物でもないのではないでしょうか。
脆弱(ぜいじゃく)性の報告を行なうにあたってなくてはならない、「報告者の免責保証」や「報酬や謝礼の有無」に全く触れられていないのが残念なところです。
前者は報告者が自分の個人情報を公開することによって自らが裁判の場に引きずり出されかねない心配を防ぐため、後者は「ただの無償奉仕デバッガ」を防ぐために必要な対策であると思います。
特に後者について言えば、報告やその後の共同作業の結果作成されたパッチなりサービスパックなりも製品構成の一部として「販売」されるわけですから、何らかの形での謝礼は必要であると思います。
Re:評価に値するかどうか? (スコア:2, すばらしい洞察)
大きな組織になればなるほど、適切な所が適切に処理するまでに到るのが
難しくなるものです。専用の連絡先が明確になるだけで大きなメリットがある
というのには思い至らないのでしょうか。
>特に後者について言えば、報告やその後の共同作業の結果作成されたパッチなりサービスパックなりも製品構成の一部として「販売」されるわけですから、何らかの形での謝礼は必要であると思います。
まぁ、考え方は人それぞれですから貴方の場合は要求してみればいいのでは?
#ただ一歩間違うとYBBの件のように脅迫になりそうですけどね ;-)
Re:評価に値するかどうか? (スコア:1)
ごめんなさい。何度読み返してみても「防ぐ必要性」がわからなかった。
たとえば、パッチがリリースされるまで(脆弱性について)黙っていてください、ということでしょうか?
「ただの無償奉仕デバッガ」が、欠陥をすぐに公開する(それがセキュリティ問題につながる)ことを懸念しているのでしょうか?
全ての「ただの無償奉仕デバッガ」が報酬を求めているとは思えないんですが。
#少なくとも、私が某ソフトの開発者に「欠陥を修正するパッチ」を送ったのは、「リリースの度にパッチを当てるのがめんどくさい」ということが動機だった。
Re:評価に値するかどうか? (スコア:1)
バグではなくて仕様ですからお金払えません、と。
逆に害のような気がします。
どうしてタカるかなぁ。。 (スコア:0)
そのためにlinuxだってヲタが毎晩コネくりまわしていじってるんでしょ?タダで。
Re:どうしてタカるかなぁ。。 (スコア:1)
1を聞いて0を知れ!
Re:どうしてタカるかなぁ。。 (スコア:1)
タダでくれてやったんだからそんなものは自分で何とかしろ、と
#さすがに考えすぎかな
Re:どうしてタカるかなぁ。。 (スコア:1)
タダどころか、次バージョンへのアップグレードを
要求されて、更に金をむしりとろうとします。
少なくとも報告を上げてくれた人に対しては、
バージョンアップ優待サービスなどを
出してもバチは当たらないと思いますよ。
Re:評価に値するかどうか? (スコア:0)
#あるコンパイラで非常に基本的な構文が正常に動作しないので
#メーカーに問い合わせたらバグを認めたものの「サポートの契約を
#してないから修正版は渡せない」と言われた・・・。
Re:評価に値するかどうか? (スコア:0)
#私ならもらった小切手は家宝として額に入れて飾りますが…
Re:評価に値するかどうか? (スコア:0)
Re:評価に値するかどうか? (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:評価に値するかどうか? (スコア:0)
前者はともかく、後者はあるところの方が珍しいんだが。
(あるところの具体例を*沢山*挙げてくれ、そうでないと「なくてはならない」と言い切る理由にならんぞ)
あんたが「あったほうがいい」と考えるのは勝手だが、それは「なくてはならない」という理由には
Re:評価に値するかどうか? (スコア:0)
都市伝説であることを望む。
なんか勘違いしてませんか? (スコア:0)
今回の件は「脆弱性の定義」と「日本語による脆弱性報告窓口の
開設」の2つが組み合わさっています。
脆弱性とは欠陥ではないと断言できる東くんの度胸に免じて
そこは突っ込まないとしてマイクロソフトの定義としては「製品
出荷後に悪意のある人が悪意のある方法で見つけるもの」と
なってます。その脆弱性を日本語で報告出来る窓口が今回のです。
つまりこの2つをつ
火事だけに (スコア:1, おもしろおかしい)
# さんざん言い尽くされたネタなので AC
Re:評価に値するかどうか? (スコア:0)