Palm84 某所の日記

死のうは一定、しのびクマには何しよぞ...

(脆弱性などの)情報公開の是非

英語圏では、業界の集まりが自ら実例を公表することによって防止を図っている。日本の企業風土が「とりあえず隠しておく」なのかどうかは知らないが、日本でAPWGと同じようにできるのかどうか……。

それぞれ「正しくない」とは思わないのですが、「風潮」や「風土」などの理由で公開者(というよりは情報提供者)を批判するのは止めて欲しいなと思う。「批判の声」って難しい正論より耳に届きやすいんで、無責任な「世論」が出来上がってしまうのが怖いです。

最近のMicrosoft社の脆弱性情報に対する姿勢とか、少し以前の「圧縮・解凍ソフトの脆弱性」に関した報道とか。個人的には「悪用防止」より「被害防止」が先でいいと思ってます。種類によるかもしれませんが・・