責任ある欠陥表示? 新たな業界団体設立 10
ストーリー by wakatono
蛮勇というべきか 部門より
蛮勇というべきか 部門より
von_yosukeyan 曰く,"ZDnet日本語版速報記事によると、Microsoft、@Stakeなどソフトウェアベンダー5社がセキュリティー問題に対し「責任ある欠陥表示」の標準を策定する新たな業界団体を設立すると発表したそうだ(元記事)。設立に参加するGuardentのEddie Schwartz氏によると、この団体は「攻撃ツールなどのコードのリリースについて,業界全体としての意識を一致させる必要がある。ソフトウェアの脆弱性に取り組む組織を結成し,最終的にはその開示についての基準を作りたい」と述べ、最終的にはCisco、Sunなどの製品も「カバー」するそうだ。この記事を読む限りでは、業界基準を策定したところでセキュリティー問題が減るとは思えないが、まさか「責任ある欠陥表示」以外の警告は違法化するよう議会に働きかけるためのロビー団体、なんて話にならないように祈りたい。"
見てると、結局臭いモノにはフタをしたいだけのようにしか見えないのだけど…気のせいかな?
ソフトウエアの脆弱性の開示をしないと (スコア:2, すばらしい洞察)
どうなるか、というと、誰かがみつけたその種の情報は公にされず、地下に潜るため、よりいっそう追跡が難しくなり、ネットはもっと混乱することになると思う。
自分の権利ばかり主張して、実際に製品を買っていただくお客のことなどどうでもよい、ということを考えている人たちの見本市みたいな「業界団体」ですな。
アメリカの資本主義って、これだから好きさ。
一番軟弱なレベルに (スコア:2, 興味深い)
Re:一番軟弱なレベルに (スコア:2, 参考になる)
>セキュリティの強度を鎖に例えると、
>一番弱いリングに依存するんだ、とか言われます信頼性解析・破壊力学などで使われる
「最弱リング機構」ですね。
強度が異なる輪っかをつなげて鎖を作って引っ張ると、
一番弱い輪っかの所で切れるんだ、っていうやつ。
…この団体もMicrosoftのところで切れそうですね。
「仕様」の利用方法の開示にも責任が求められるか? (スコア:2, すばらしい洞察)
となると、責任ある開示と無責任な開示の境界はどこになるのだろうか?
Re:「仕様」の利用方法の開示にも責任が求められるか (スコア:2, 参考になる)
今回の対象には含まれないのでは?
「仕様」に欠陥があっても、それはただの「まぬけ」なだけですから。
「仕様です」と言い切った時点で、制作側からも開示も自由という
お墨付きをもらえるわけですから、それはそれで、色々、事を起こせるとは思いますね。
意図しない公開 (スコア:2, 参考になる)
プログラムに関する質問のやりとり中に
たまたまセキュリティホールが見つかってしまった
場合はどうするつもりなのだろうか。
しかもこういう場合は大抵「攻撃用」ソースが付いている。
掲示板やメールの過去ログを消す様圧力をかけ
一件落着にするつもりなのだろうか。
プログラミングに関する情報交換を「違法」に
しようとしているなら止めてほしい。
簡単にいえば (スコア:1)
それだったら今にはじまったことではないんでしょうけど
禁断の木の実 (スコア:0)
こういう表示? (スコア:0)
Bug inside !!!
アホクサい団体だ (スコア:0)
こんな偉そうなこというからには、セキュリティホールによりユーザが蒙った損害を賠償するくらいのことしないと駄目だろ普通。
そうでもなければ偉そうなこと言う資格なし。結局製品の欠陥をユーザに押し付けてるだけだ。