アカウント名:
パスワード:
・脆弱性レポートは真実か確認もされずに掲載されている。(速報性を重視?)・検証は後からしているようで、間違った情報には間違っていた情報がわかる形で訂正される。
虚偽のレポートにより、信用問題などに発展しないだろうか?
虚偽のレポートにより、用問題などに発展しないだろうか?
バランス感覚でしょうね。脆弱性によって、速報性を重視すべき場合もあるだろうし、時間をかけるべき場合もあるだろうし。(ただ、脆弱性の種別を見誤るということはあるけど。例えば内部からのDoS可能性と思ってたら、外部からの乗っ取りが可能だったとか。)発表される場や属性によっても、公式的・確定的事実として発表する内容もあれば、速報性重視・周知による多角的検証を促す内容もあるだろうし。今回、2週間の猶予を持っても良かったのかといえば、決済サービスなのでそこまで猶予は無いだろうと思う。とはいえJVNだからな、というのはる。
速報性と信頼性を両立させるのは難しいなら並立させればいいと思う。
地震の規模みたいに速報(未検証)と確定(検証済み)のフラグを設定すればいいのでは?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
わかること (スコア:0)
・脆弱性レポートは真実か確認もされずに掲載されている。(速報性を重視?)
・検証は後からしているようで、間違った情報には間違っていた情報がわかる形で訂正される。
虚偽のレポートにより、信用問題などに発展しないだろうか?
Re:わかること (スコア:1)
虚偽のレポートにより、用問題などに発展しないだろうか?
バランス感覚でしょうね。
脆弱性によって、速報性を重視すべき場合もあるだろうし、時間をかけるべき場合もあるだろうし。
(ただ、脆弱性の種別を見誤るということはあるけど。例えば内部からのDoS可能性と思ってたら、外部からの乗っ取りが可能だったとか。)
発表される場や属性によっても、公式的・確定的事実として発表する内容もあれば、速報性重視・周知による多角的検証を促す内容もあるだろうし。
今回、2週間の猶予を持っても良かったのかといえば、決済サービスなのでそこまで猶予は無いだろうと思う。
とはいえJVNだからな、というのはる。
Re: (スコア:0)
速報性と信頼性を両立させるのは難しいなら並立させればいいと思う。
地震の規模みたいに速報(未検証)と確定(検証済み)のフラグを設定すればいいのでは?