JPCERT、「開発者と連絡が取れない製品」の脆弱性情報公表を開始脆弱性への早期対応を目指し

JPCERTは2015年9月3日、脆弱性情報の掲載サイトであるJVNにおいて、開発者と連絡が取れない製品に関する脆弱性情報の公表を開始した。

» 2015年09月03日 18時11分 公開
[@IT]

 JPCERTコーディネーションセンター(以下、JPCERT)は2015年9月3日、ソフトウエアなどの脆弱(ぜいじゃく)性情報の掲載サイトである「JVN(Japan Vulnerability Notes)」において、開発者と連絡が取れない製品に関する脆弱性情報の公表を開始した。

 JPCERTおよび情報処理推進機構(IPA)では2015年5月30日、従来の製品開発者、JPCERT、IPA三者の合意に基づく脆弱性情報公表に加え、一定期間製品開発者との連絡が取れない場合にも、改正版の「情報セキュリティ早期警戒パートナーシップガイドライン」に基づいた所定のプロセスを経て、製品の脆弱性情報を公表することを発表していた(関連リンク)。

出典:IPA

 電子メールや郵便、電話、FAXなどのいずれの手段でも一定期間連絡が取れない開発者は「連絡不能開発者」として公表され、呼び掛けが行われるが、それでも連絡が取れない場合には、公表判定委員会による審議を経て脆弱性情報の一般への公表が行われる。

 2015年9月3日18時現在、掲示板ソフトウエアとSNS構築ソフトウエアに関する2件の脆弱性が公表されている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。