パスワードを忘れた? アカウント作成
5834 story

セキュリティ情報開示ルールのドラフトがセキュリティ業界団体から公開 12

ストーリー by Oliver
ベンダー反応なければfull-disclosure 部門より

Anonymous Coward曰く、 "ZDNet ニュース(日本語版)によると、米ソフトメーカーとセキュリティ企業11社で構成されているOIS(Organization for Internet Safety)がセキュリティホールの報告とその対処に関するルールのドラフト版の「Security Vulnerability Reporting and Response Guide」が公開されたようです。
OISのWEBページでは、このドラフト版に対する意見を広く募集するようです。公開後、約1ヶ月間の2003年7月7日までの間draft-feedback@oisafety.orgのメールアドレスで意見を受け付けるようです。当然のことながらコメントには氏名、電子メールなどの連絡先の明記することがうたわれています。また、すべてのコメントに対するレスポンスは保証されていないようです。
セキュリティ情報の発見、報告、その情報の開示(パッチなども含む)についてはいろいろと意見があるところだと思いますが、これを期にしっかり議論され、よい方向に進むことを望みます。また、オープンソースのコミュニュティの動向も気になるところです。(このドラフト版に意見のある方は、どしどし投稿しましょうね。)"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 結局のところ (スコア:2, すばらしい洞察)

    by taotao (13793) on 2003年06月05日 21時03分 (#330232)
    ルールを決めても、それに従ってくれないと意味が無いわけだが。
    • Re:結局のところ (スコア:3, すばらしい洞察)

      by Napper (6812) on 2003年06月06日 10時42分 (#330564)
      やはり何らかの形でペナルティがないと、ルールが有効に
      働かないでしょうね。
      ペナルティとは、必ずしも罰金などの制裁ではなくても、社名と
      ルールに違反した事実・経緯が公表され、それが消費者に
      正しく伝わればいいと思います。
      最終的にそのベンダーの製品を選択するかどうかは消費者が
      自分で判断するべきことでしょう。
      しかし、提灯記事満載の「マスコミ」や感情先行型の「クレーマー
      サイト」ではなく、バイアスのない(せめて少ない)メディアをどう
      確立するかが問題でしょうか。
      暮らしの手帖 [kurashi-no-techo.co.jp] のように広告収入に頼らないのでメーカーから
      影響を受けない情報って貴重ですね。

      ところで、もし1年間のセキュリティホール公開件数が0件という
      ベンダと100件のベンダがあったとしたら、どちらを選びますか?
      親コメント
      • Re:結局のところ (スコア:1, 参考になる)

        by Anonymous Coward on 2003年06月06日 11時16分 (#330578)
        >ところで、もし1年間のセキュリティホール公開件数が0件という
        >ベンダと100件のベンダがあったとしたら、どちらを選びますか?

         もし、利用度される頻度や発展速度が同じくらいであり、更に
        そこにしか考慮する情報がないとするならば、100件のところにします。
        0であるっていうのが大きくマイナスなので。
        (これが1~10件とかなら、発展速度にもよりますが、多くの場合は
        そちらを選ぶでしょう)

         とはいえ、利用するベンダの選択ってそれだけじゃないですから、
        あまり意味のある設問のようには感じないのですが…。
        親コメント
        • >とはいえ、利用するベンダの選択ってそれだけじゃないですから、
          >あまり意味のある設問のようには感じないのですが…。

          こういう場合、触れられていない部分は全てイーブン(値段も機能も性能も)であると考えれば楽(笑)になります。

          それはさておき、「0件」ではベンチマーク不参加と同義。
          こういうベンチマークで見るべきは穴の数ではなく、いかに迅速的確に穴を塞いだか、ですから。

          放りっぱなしは論外として、まあそこそこに塞いでるのなら、100件の方を選ぶかも。「0件」が、他で見つけられる前に全部自前で見つけて塞いでたから、だったら別ですが。
          親コメント
          • by Anonymous Coward
            「0件」が、他で見つけられる前に全部自前で見つけて塞いでたから、だったら別ですが。

            これって「世に出る前に」自前で見つけて塞いだ場合ですよね。
            世に出た後なら自前かどうかは関係ないですから。

    • 英語苦手なんでぜんぜん読んでませんが(--;
      参考にする・・・というだけではだめなのかな?

      セキュリティの公開ルールなんて、その問題の性質や企業の対応によってこの中だけじゃ網羅できないものがいっぱいあると思います。
      こうやってレビューされた内容が、公開されるのはとてもいいことですが、それを法律のように振りかざして、問題の本質を見失うことがないよう注意する必要もまたあると思います。

      一番いいのはこういった文書を正しく理解して、自分なりの意見をもって「文書のルールに従う」ことと 文書を理解した上できちんとした理由もって「文書のルールに従わない」を選択することが重要なんじゃないかと思います。

      もちろん、いまなら意見を募集しているから今のうちにたたいておくってのもありそうですけどね・・。
      親コメント
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...