「責任ある開示」ガイドラインへの模索
タレコミ by k3c
k3c 曰く、
ZDnetの記事によれば、マイクロソフトなどソフトウェアメーカー各社とセキュリティ企業数社が、RSA Conference 2002会場で、脆弱性情報の「責任ある開示」のガイドラインを策定する団体、「Organization for Internet Safety」(OIS)の詳細を決めるための話し合いを行ったそうです。折りしも先日、その名も"Responsible Vulnerability Disclosure Process"なるInternet Draftが提案されています。この2つの動きが連動していくのか、それとも独立した2つの動きとなるのか…いずれにしても、脆弱性でまず被害を被ることになるユーザーの利益を守るという「責任」を果たす形で結実して欲しいものです。