jpcertcc ipa 国内の脆弱性情報が集約されている Japan Vulnerability Notes (JVN) から、長期に渡って連絡不能になっている開発者の一覧が公表されています。
JVN、脆弱性の届け出があったソフトの「連絡不能開発者一覧」公表 -INTERNET Watch
各種の連絡手段で連絡を試みたが連絡先が不明または一定期間にわたって全く応答が無い製品開発者について、一覧に掲載する。29日時点で50件を掲載している。
開発者名の公表後、約3カ月経過しても応答が無い場合は、具体的な製品の名称・バージョンを追加で公表する。この取り組みを通じて製品開発者に対し、脆弱性が発見された際の連絡先の明示および連絡体制の確立を求めるとしている。
WordPressとかが入っているので、あのWordPressなのかなと思って詳細を見てみようと思ったのですが、報告されただけで脆弱性自体は未公開なのですね。上記のように3ヶ月後に少しずつ内容が公開されていくという流れのようです。
これまでの脆弱性情報の取り扱いは開発者が対応してくれるというが前提で、その上でじゃあその情報をいつ公にするかというのが問題だったわけですが、連絡がとれないもしくは対処されないとなると難しい問題ですね。
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/4482
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
