「責任ある開示」って成立するの? 2
ストーリー by kazekiri
最後には自分が頼り 部門より
最後には自分が頼り 部門より
Hebikuzure 曰く,"NTBugtraqのラス・クーパーのインタビュー邦訳が出ているのだけど、この中で「脆弱性に関する情報は責任ある形で開示すべき」という持論が述べられている。
確かに誰もがオオカミと少年の如く「脆弱性」を声高に呼ばわる事が良いとも思えないのだが、『例えば,1000人程度で構成されるグループが脆弱性に関する個々の情報を吟味し,その情報が信頼できるものか,深刻な問題であるかといった点を判断し,結論を出した上で情報を開示する』というシステムが果たしてうまく機能するものか?
そこから公開された脆弱性情報が信頼が置けるという事は言えるとしても、それ以外の情報が全て正しくないという保証は無いのだし、緊急性など考えてそうした手続きをパスしてでも公開するべき情報もあろう。
結局の所セキュリティ関係者は、「責任ある開示」があろうと無かろうと、今まで同様幅広い情報に耳を傾けなければならないのだし、他人の言葉を鵜のみにして痛い目にあったら尻拭いするのは自分という状況に何も変わる事は無いように思うのだが。
ちなみに「セキュリティ」ってトピックス、無いんですね。ある物と思いこんで探したけど見当たらないのでとりあえずMSのトピックという事でタレこみますが....。"
ちなみに「セキュリティ」ってトピックス、無いんですね。ある物と思いこんで探したけど見当たらないのでとりあえずMSのトピックという事でタレこみますが....。"
トピックアイコンさえあればセキュリティなら作るだろう。
1000人の意見をまとめるには (スコア:1)
きっとピラミッド型の組織ができるんでしょうね。
意思決定の速度とは別に…… (スコア:1)
対応策ができるまで、あえて発表しなかったりも
あるんじゃなかったっけ?