セキュリティ情報
JPCERT/CC、「連絡不能開発者」と認定された開発者のソフトウェア脆弱性情報の公開を開始
JPCERT/CCは9月3日、「情報セキュリティ早期警戒パートナーシップガイドライン」に則り、発見された脆弱性の製品開発者と連絡がとれない案件を「連絡不能案件」と認定した上での脆弱性情報の公開を開始した。
ソフトウェアに脆弱性が発見された場合、情報処理推進機構(IPA)が発見者から未知の脆弱性の届出を受付けており、調整機関であるJPCERT/CCへ連絡される。しかし、製品の開発者と連絡が取れない場合、この作業を始めることができない。電子メール・電話・郵便・FAXなど、いずれの手段でも一定期間連絡が取れない開発者は「連絡不能開発者」として公表され、呼び掛けが行われる。それでも連絡が取れない場合には、公表判定委員会による審議を経て脆弱性情報の一般への公表が行われる。
「連絡不能」の開発者によるソフトウェアの脆弱性情報は、JVNにて公表されている。
(川原 龍人/びぎねっと)
[関連リンク]
情報セキュリティ早期警戒パートナーシップガイドライン