アカウント名:
パスワード:
> 半数以上の脆弱性が放置されている
脆弱性を放置した結果生ずるリスクと脆弱性への対応費用を評価して割に合わないというなら脆弱性を修正しないという判断もアリだと思うけどね
使う側は使う側でリスクマネジメントすればいいだけの話だし
すべてのリスクを知るのに必要なコストが0ならば、その手もありだね。
実際には、すべてのリスクを知るのに必要なコストは0ではない。というか非常に高い。さらに対策を考えなくてはいけなくて、そのために必要な知識を得るのも非常にコストが高い。# ここでいうコストは「お値段」だけじゃなくて、時間、学習という行為がもたらす苦痛、なんかも含む。
まぁ、最終的に思いついた対策を実施するためのコストというのもあるんだけれど、実はそれは全コストの中でもっとも安かったりする。
.
実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく、君のように短慮な発想で「リスクマネジメントすりゃいいじゃん」なんぞと言い出す奴も出ず、ゆえにこのような話が出ること自体なく…
結果として、/.J はまるでつまらないサイトになるはずなんですよ。
「ソフトウェア脆弱性の所有権問題」って奴ですね。確か宮本 久仁男さんが監訳している本にそんな内容のものがあったような気が…
# あぁ、ある…でどこかの山に積んである状態だったと思うので、ちょっと自信がない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
脆弱性を放置してもいいんじゃないの? (スコア:1, 興味深い)
> 半数以上の脆弱性が放置されている
脆弱性を放置した結果生ずるリスクと脆弱性への対応費用を評価して
割に合わないというなら脆弱性を修正しないという判断もアリだと思うけどね
使う側は使う側でリスクマネジメントすればいいだけの話だし
Re: (スコア:4, 興味深い)
すべてのリスクを知るのに必要なコストが0ならば、その手もありだね。
実際には、すべてのリスクを知るのに必要なコストは0ではない。というか非常に高い。
さらに対策を考えなくてはいけなくて、そのために必要な知識を得るのも非常にコストが高い。
# ここでいうコストは「お値段」だけじゃなくて、時間、学習という行為がもたらす苦痛、なんかも含む。
まぁ、最終的に思いついた対策を実施するためのコストというのもあるんだけれど、実はそれは全コストの中でもっとも安かったりする。
.
実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。
このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく、君のように短慮な発想で「リスクマネジメントすりゃいいじゃん」なんぞと言い出す奴も出ず、ゆえにこのような話が出ること自体なく…
結果として、/.J はまるでつまらないサイトになるはずなんですよ。
fjの教祖様
Re:脆弱性を放置してもいいんじゃないの? (スコア:0)
そのソフトの製作者が有罪になったり賠償責任を負わされるリスクって現状ではめちゃくちゃ低いんじゃないかな
大抵のソフトは利用許諾条件に「as-isで提供」「動作結果における損害には責任を持たない」という条項を盛り込んでるし
ソフト製作者は新しく発見された脆弱性への修正義務を負っているっていう法的根拠が無い限り
脆弱性を放置するのも自由でしょ
何がなんでも修正するべきって意見には、法的な合理性も経済的な合理性も感じられない
Re:脆弱性を放置してもいいんじゃないの? (スコア:1)
「ソフトウェア脆弱性の所有権問題」って奴ですね。
確か宮本 久仁男さんが監訳している本にそんな内容のものがあったような気が…
# あぁ、ある…でどこかの山に積んである状態だったと思うので、ちょっと自信がない。
fjの教祖様