公的な脆弱性の受付窓口
経済産業省が告知した制度「ソフトウエア等脆弱性関連情報取扱基準」により、IPAが受付窓口となり、JPCERTが検証,開発者管理者に通知という流れで運用されるようです。
対象となるのは、国内で利用しているソフトウェアと国内向けのWebサービス。
運用方法は、調整機関となるJPCERTが対策期限を事前に通告し、それまでに対策方法が報告されなかった場合に脆弱性情報を広く周知できるようになっています。
スラッシュドット ジャパンのコメントにもありましたが、脆弱性の報告をハッキングとかクラック、不法侵入だと逆に指摘されたらどうなるのだろう?通報者の保護に関して特に記載されていない様なのでちょっと不安ですね。
通報の際は個人情報を記入しないと行けないとか・・?
●関連URL
○経済産業省、ソフトウェアやWebアプリケーションの脆弱性を報告する窓口を開設(04/07/08 0:00)(窓の杜)
○ソフトウェア/Webサイトの脆弱性届出制度が運用開始(2004/07/08 10:29)(Enterprise Watch)
○IPA:情報処理推進機構
○JPCERT Coordination Center
○METI:経済産業省
○ 「ソフトウエア等脆弱性関連情報取扱基準(案)」等に関するパブリック・コメント(意見募集)の結果について(経済産業省)
○脆弱性関連情報に関する届出について(IPA)
○IPA、ソフトウェアやWebアプリの脆弱性情報の受け付け開始(2004/07/08 13:11)(INTERNET Watch
○経済産業省、ソフトウェアやWebアプリケーションの脆弱性を報告する窓口を開設(04/07/08 0:00)(窓の杜)
○キュリティ: 経産省のソフトウェア脆弱性報告基準が施行、運用が始まる(Thursday July 08, @04:24PM)(Slashdot Japan)
| 固定リンク
コメント