脆弱性の開示
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/12/15 09:50 UTC 版)
脆弱性の調整された開示(「責任ある開示」とも呼ばれるが、偏った言葉であるとも考える者もいる)は大きな議論の的となっている。例えば、2010年8月にTech Heraldは「 Google、Microsoft、TippingPoint、およびRapid7は最近、今後の開示にどう対処するかを説明するガイドラインと声明を発表した。」と報告した。 責任ある開示では、最初に影響を受けるベンダーに内密に警告し、その後2週間後にCERTに警告する。これにより、セキュリティアドバイザリを公開する前に、45日間の猶予期間がベンダーに与えられる。 他の方法として、脆弱性の全ての詳細を公開するという、フルディスクロージャが行われることもある。これは、ソフトウェアまたは手順の作成者に修正を早急に見つけるよう圧力をかけるために行われることもある。 尊敬されている著者は、脆弱性とそれらを悪用する方法についての本を出版している:「ハッキング:悪用の芸術 第2版」は良い例である。 サイバー戦争またはサイバー犯罪業界のニーズに応えるセキュリティ研究者は、このアプローチは彼らの努力に十分な収入を提供しないと述べている。代わりに、ゼロデイ攻撃を可能にするエクスプロイトを非公開で提供する。 新しい脆弱性を見つけて修正するための終わりのない努力は、コンピュータセキュリティと呼ばれる。 2014年1月に、Microsoftが修正プログラムをリリースする前にGoogleがMicrosoftの脆弱性を明らかにしたとき、Microsoftの代表者は、ソフトウェア会社間での開示を明らかにするための調整された慣行を求めた。
※この「脆弱性の開示」の解説は、「セキュリティホール」の解説の一部です。
「脆弱性の開示」を含む「セキュリティホール」の記事については、「セキュリティホール」の概要を参照ください。
- 脆弱性の開示のページへのリンク
