オープンソースの脆弱性告知問題
昨日のHikiの件でid:yomoyomoさんからコメントを頂きました.
Hikiの件ですが、タレコミ主(Hikiの開発者)は別に議論してほしかったわけではなくて、純粋に告知が目的でたれこんだのだと思います。前回、公式サイト、/.J、セキュリティホールmemo MLにまで告知してもアピールが足らんとか言われたので、今回も告知しようと思われたのではないかと(勝手に)想像しています。 http://kazuhiko.tdiary.net/20040622.html
ふぇみにん日記にも
すくなくともこの件に関しては議論の場としてよりも告知の場として /.J を選んだので、多少のノイズは仕方がないかなと思っています。と記されていますから告知目的ですね.
ただソフトウェアの脆弱性告知の場として/.Jがふさわしいかというとどうも.あって欲しくはないのですが,Part3があった日には,ノイズが多いでは済まないような事態になりそうな.
じゃあどこがいいかというと適当な場が見つからないのも確かですね.
- 公式サイト
- /.J
- セキュリティホールmemo ML
- bugtraq-jp ML
公式サイトは意外と見に行かない人が多いし(笑),/.JはたぶんApacheやPHPクラスの普及率のソフトじゃないと,S/N比がボロボロになりそうだし,セキュリティホールmemo MLは実は僕読んでません(笑).あそこも議論が始まるとS/N比が酷くなるのでちょっと.セキュリティホールmemoのWebサイトの方はたまに更新お休みがあるし.bugtraq-jpは僕読んでますが,でもマイナーだよな.
やっぱり顰蹙覚悟で/.Jか(爆)
セキュリティ専門なサイトやMLは購読者が少ないし,目立つところは顰蹙を買う.
目立つところで,セキュリティネタが載っても不自然じゃないところというとNewsサイトですか.
ただ残念ながらNewsサイトはApacheクラスはともかく,そうじゃないオープンソースソフトの脆弱性問題は扱わないようです.これがBeckyのようなWinodwsのソフトならネタになるのですが.
オープンソースを普及を目指すのであれば,こういった脆弱性問題を適切に告知する体制の構築も必要でしょう.現状はいささかお寒いです.日経BPやCNET Japanあたりに期待してみますかね.「オープンソースは素晴らしい」なんて記事を百個載せるのもいいですが,こういう地味な分野での援護射撃もやって欲しいところです.
追記
こういうネタを書いた早々これだよ
