k3c 曰く、 "先日お伝えした通り、セキュリティー企業とソフトウェア企業は2月、脆弱性情報の「責任ある開示」プロセスを定めたInternet Draftを提出していましたが、このたびIETFがこれを却下した(CNet記事)そうです。理由は「IETFは人間の行為までは関与できない」からだとか。うーむ…まあそうかもしれませんが、じゃあRFC2324はどうなのよ?とか思ったり(答:それは別の話)。ところで、IETF以外にこういうのを「検討する別のフォーラム」って、どこがあるのでしょうか?"
責任の所在 (スコア:2, すばらしい洞察)
>「オープンに討論できるフォーラムで草案を検討することが大切だと思う」とクリスティー。
というコメントがある。
つまり、今回の「草案」は「クローズなところで作られたもの」という認識をIETF、あるいはクリスティ氏はしている、ということになる。
たしかに「IETFには馴染まない問題」という結論は、私としては妥当だと思う。セキュリティ会社、ソフトウエアメーカーともに、IETFの「お墨付き(権威付け)」が欲しかった、ということが、この草案のIETFへの提出となったものと思いますが。
でも、こういう場合、「それ」によって商売をしている人たちだけではなく、やはり「エンドユーザ」の、本格的な草案への関与がされて「オープンに討論」されないと、意味がない、というようにIETFは考えたのではないかな?そうなると、消費者団体などの、メーカーにとって「うるさい」人たち(特に米国では)が出てくるから、そうしたくなかったんだと思う。
で、IETFはこの程度のことは見抜いた、ということじゃないかな?。
この類のものの「草案」は、「ソフトウエアメーカー」「セキュリティ会社」「エンドユーザ」が一緒に作らないと意味がない、ということをIETFは言ったのではないかと思うわけですが。本当はどうなんだろう?
それは別の話だけど... (スコア:1)
# RFC1149
Re:それは別の話だけど... (スコア:1)
# ちなみに最新は 1999/04/01 の RFC2549 ですね。
# サービスレベルの概念が導入されています。
I-D の軽さ (スコア:1, 興味深い)
(http://www.zdnet.co.jp/news/0202/28/e_ietf.html)
を読んだときには、 internet draft なんて誰にでも提出できる
一時的な文書に過ぎないのに、その「軽さ」がうまく伝わってい
ないと思った。