Hatena::Groupsecurecode

脆弱性の取り扱いについて

脆弱性の取り扱いについて

当勉強会は、ソフトウェアの脆弱性をつく勉強会ではございません

禁止事項に記していますように、攻撃方法のみを紹介を禁止しています。また「コーディングレベルでいかにセキュアな実装が可能か?」をテーマにしているためコーディングレベルで防御できない物は当グループ内のWebリソース・勉強会・IRCなどにおいて紹介不可と致します。

事例:壱

  1. QuickTimeの脆弱性を利用したExploitCodeを公開
  2. Adobe Readerの脆弱性を利用したExploitCodeを公開
  3. 防御(対策)方法は、ベンダーから出るアップグレードパッチの適用すること

どうしても社会に脆弱性をアピールしたいという方へ

現在、日本につきましてはJPCERT/CCIPAという機関においてソフトウエア製品およびウェブアプリケーションの脆弱性に関する情報を受け付けています。各種手順や調整機関を通じ脆弱性と認知された場合は、「受理」されます。受理されたのち調整機関と開発元において様々なプロセス*1を経て脆弱性の修正が行われます。修正が完了後、JVNというWebサイトにおいて「公表」が行われます。

JPCERT/CCIPAが、運営しているJVNという物が存在します。JVNについての詳細な情報は、下記のURLをご覧下さい。

JVNに告知される事を考慮すると社会に脆弱性をアピールすることができます。

社会に与える影響

ソフトウエア製品およびウェブアプリケーションの脆弱性において未対策のまま


状況の変化

調整機関を仲介することにより脆弱性が放置される事が少なくなった



特殊な場合について

過去の事例


キーワードの指標

ネタ度☆☆☆☆☆
真面目度★★★★★