ディスクロージャー

ディスクロージャー(倫理的開示)とは

脆弱性を発見したらどうするでしょうか?様々な情報の伝え方がありますが、不要に脆弱性をさらす行為は倫理的とは言えません。

  • 全面的な開示:攻撃者がすでに脆弱性や攻撃方法について知っており利用していることを前提に、全員に伝え公開します。
  • 部分的な開示:開発提供ベンダーにのみ伝え、パッチを開発する時間を与え、ベンダーから開示してもらいます。
  • 開示しない:脆弱性を見つけた場合は、可能な限り秘密にしておくことです。

通常であれば、部分的な開示が求められます。しかし、ベンダー側が対応する可能性がなく、ユーザーの対応次第でその脆弱性が避けられるのであれば、全面的に展開を呼び掛けることも選択肢の一つになってきます。