Oliverによる
2003年06月05日 20時03分の掲載
ベンダー反応なければfull-disclosure部門より。
ベンダー反応なければfull-disclosure部門より。
Anonymous Coward曰く、 "ZDNet ニュース(日本語版)によると、米ソフトメーカーとセキュリティ企業11社で構成されているOIS(Organization for Internet Safety)がセキュリティホールの報告とその対処に関するルールのドラフト版の「Security Vulnerability Reporting and Response Guide」が公開されたようです。
OISのWEBページでは、このドラフト版に対する意見を広く募集するようです。公開後、約1ヶ月間の2003年7月7日までの間draft-feedback@oisafety.orgのメールアドレスで意見を受け付けるようです。当然のことながらコメントには氏名、電子メールなどの連絡先の明記することがうたわれています。また、すべてのコメントに対するレスポンスは保証されていないようです。
セキュリティ情報の発見、報告、その情報の開示(パッチなども含む)についてはいろいろと意見があるところだと思いますが、これを期にしっかり議論され、よい方向に進むことを望みます。また、オープンソースのコミュニュティの動向も気になるところです。(このドラフト版に意見のある方は、どしどし投稿しましょうね。)"
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
結局のところ (スコア:2, すばらしい洞察)
Re:結局のところ (スコア:3, すばらしい洞察)
働かないでしょうね。
ペナルティとは、必ずしも罰金などの制裁ではなくても、社名と
ルールに違反した事実・経緯が公表され、それが消費者に
正しく伝わればいいと思います。
最終的にそのベンダーの製品を選択するかどうかは消費者が
自分で判断するべきことでしょう。
しかし、提灯記事満載の「マスコミ」や感情先行型の「クレーマー
サイト」ではなく、バイアスのない(せめて少ない)メディアをどう
確立するかが問題でしょうか。
暮らしの手帖 [kurashi-no-techo.co.jp] のように広告収入に頼らないのでメーカーから
影響を受けない情報って貴重ですね。
ところで、もし1年間のセキュリティホール公開件数が0件という
ベンダと100件のベンダがあったとしたら、どちらを選びますか?
親コメント