アカウント名:
パスワード:
「各国語版、各OS版が出揃うまで、脆弱性情報を公表しない」という考え方はアリなのかもしれない。揃うまでどれもリリースしないという考え方もアリかもしれないが、できたものから早く出したいということもあ
「各国語版、各OS版が出揃うまで、脆弱性情報を公表しない」という考え方はアリなのかもしれない。揃うまでどれもリリースしないという考え方もアリかもしれないが、できたものから早く出したいということもあるかもしれない。どうすべきなのだろう?
「前回のリリースには既知のセキュリティ問題が含まれている」というのがこの行動を行ったときに明らかになる情報ですが、無用の混乱を避ける意味でも最初に告知しないほうがいいような気もします。どうせ(善悪の区別を問わず)セキュリティホールを探すような人はこの情報があろうと無かろうと自分で探すでしょうし。
そういう意味でも、今回の「リリース時にセキュリティ修正であるとは告知しない」というのは原則にはそぐいませんが、非常に普及したソフトウェアではある意味正しいような気もします。
ただし、問題が周知になってしまったセキュリティホールについてはその限りではなく、修正版と告知すべきだと思います。こういうケースでのNetscape社の対応はちょっとおかしいと思わないでもないです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
オープンソースプロジェクトと脆弱性情報公開 (スコア:3, 参考になる)
「各国語版、各OS版が出揃うまで、脆弱性情報を公表しない」という考え方はアリなのかもしれない。揃うまでどれもリリースしないという考え方もアリかもしれないが、できたものから早く出したいということもあ
Re:オープンソースプロジェクトと脆弱性情報公開 (スコア:3, 興味深い)
「前回のリリースには既知のセキュリティ問題が含まれている」というのがこの行動を行ったときに明らかになる情報ですが、無用の混乱を避ける意味でも最初に告知しないほうがいいような気もします。どうせ(善悪の区別を問わず)セキュリティホールを探すような人はこの情報があろうと無かろうと自分で探すでしょうし。
そういう意味でも、今回の「リリース時にセキュリティ修正であるとは告知しない」というのは原則にはそぐいませんが、非常に普及したソフトウェアではある意味正しいような気もします。
ただし、問題が周知になってしまったセキュリティホールについてはその限りではなく、修正版と告知すべきだと思います。こういうケースでのNetscape社の対応はちょっとおかしいと思わないでもないです。