アカウント名:
パスワード:
あのさあ…本当にJPCERTが脆弱性の検証をするの?
窓の杜の方には「また、JPCERT コーディネーションセンター(以下、JPCERT/CC)が届出のあった脆弱性を検証し、ソフトウェア開発者に報告する仕組み。」って書いてあるけど、元記事のhttp://www.ipa.go.jp/security/vuln/report/process.html [ipa.go.jp]にはJPCERTが検証する、なんて文言はないじゃん。「脆弱性関連情報は、JPCERT/CCから製品開発者に通知します。」としか書いてないし、さらに「製品開発者が脆弱性の存在有無を確認する際に発見者の了解がある場合には、問い合わせをさせていただくことがあります。」とあるよね。「製品開発者が脆弱性の存在有無を確認する」というのは、検証するってことじゃないのかよ。
一次情報には存在せず、二次情報にしか存在しない記述を信用してしまうOliverって、記事の書き手として問題があると思うし、そもそもJPCERTがなんで製品の脆弱性を検証する必要があるのかが分からない。
脆弱性の検証なんて行為自体はベンダに任せた方がよっぽど賢い。もちろんベンダが「そんな脆弱性はない」と言い張ることもできるけれど、万が一嘘をついたとしても、いずれあちこちで脆弱性が指摘されてどうにもならなくなるのは明白だし、この枠組みに参加しなければならないわけではないのだから、枠組みに参加しておいて嘘をつくというのはちょっと考えにくい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
本当にJPCERTが脆弱性の検証をするの? (スコア:0)
あのさあ…本当にJPCERTが脆弱性の検証をするの?
窓の杜の方には「また、JPCERT コーディネーションセンター(以下、JPCERT/CC)が届出のあった脆弱性を検証し、ソフトウェア開発者に報告する仕組み。」って書いてあるけど、元記事のhttp://www.ipa.go.jp/security/vuln/report/process.html [ipa.go.jp]にはJPCERTが検証する、なんて文言はないじゃん。「脆弱性関連情報は、JPCERT/CCから製品開発者に通知します。」としか書いてないし、さらに「製品開発者が脆弱性の存在有無を確認する際に発見者の了解がある場合には、問い合わせをさせていただくことがあります。」とあるよね。「製品開発者が脆弱性の存在有無を確認する」というのは、検証するってことじゃないのかよ。
一次情報には存在せず、二次情報にしか存在しない記述を信用してしまうOliverって、記事の書き手として問題があると思うし、そもそもJPCERTがなんで製品の脆弱性を検証する必要があるのかが分からない。
脆弱性の検証なんて行為自体はベンダに任せた方がよっぽど賢い。もちろんベンダが「そんな脆弱性はない」と言い張ることもできるけれど、万が一嘘をついたとしても、いずれあちこちで脆弱性が指摘されてどうにもならなくなるのは明白だし、この枠組みに参加しなければならないわけではないのだから、枠組みに参加しておいて嘘をつくというのはちょっと考えにくい
Re:本当にJPCERTが脆弱性の検証をするの? (スコア:0)