IPAなどが連絡のとれない製品開発者の一覧を公表、詳しくはJVNで

青木優美 (編集部)
2011-09-30 17:30:00
  • このエントリーをはてなブックマークに追加

 IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)はこのほど、開発者との調整が滞っている脆弱性への対応を進めるために、連絡が取れていない開発者の一覧を公開した。

 両者は、ソフトウェアやウェブアプリケーションの脆弱性届出を受け付け、脆弱性に対応するために開発元と調整、対策やワークアラウンドに関する情報をJVN(Japan Vulnerability Notes)で広く一般に提供する活動を行っている。

 この施策は2004年7月から実施されており、2011年6月末までの7年間で累計1207件の脆弱性が報告されている。しかし、なかには連絡のとれない製品(サービス)開発元や応答しない開発元もあり、対応中のものも合わせると2011年6月末時点で436件が未解決となっている。このため、脆弱性への対策をさらに進める目的で「連絡不能開発者一覧」を公表した。9月29日発表時点で50件の開発者が掲載されている。

 製品開発者の一覧に掲載した後約3カ月間応答が得られない場合は、製品の名称やバージョンを追加公表し、情報提供を求める。IPAとJPCERT/CCは製品開発者に対し、「連絡不能とならないよう、脆弱性が発見された際の連絡先の明示および連絡体制の確立」を求め、開発成果を公開した後の対応の重要性を改めて訴えている。

  • 新着記事
  • 特集
  • ブログ