Microsoftの広報担当者によると、セキュリティアップデートの優先度と、脆弱性発見からパッチリリースまでの期間には幾つかの要因が影響する。
「潜在的な脆弱性の報告を受けたら、製品固有のセキュリティ専門家が影響を受ける製品に対する脅威の範囲と大きさを調べる」とこの担当者は説明している。「MSRC(Microsoftセキュリティ対策センター)は、脆弱性の範囲と深刻度を把握したら、影響を受ける製品のサポート対象バージョン向けにアップデートを開発する。それから影響を受ける各種OSとアプリケーションでテストしなければならない。その後で各市場に向けたローカライズを行い、世界中の言語に対応する」
WhiteHat SecurityのCTO(最高技術責任者)ジェレミア・グロスマン氏にとっては、責任ある開示に関する議論はもはや重要ではない。どのみち犯罪者は独自のゼロデイ脆弱性を探し回っており、当然そういった連中が脆弱性を開示することは当てにできないと同氏は言う。さらに、パッチが発行されてから攻撃コードがリリースされるまでの期間は、パッチを広範に提供するのにかかる時間よりもずっと短いという。
最後に、脆弱性情報をソフトベンダーに倫理的に、無料で報告する金銭的な動機が、よそで多額の報酬が得られることで、小さくなっていると同氏は付け加えた。
「数百万ドルの価値があるゼロデイ情報なら、善良な人でも心が揺れるだろう」とグロスマン氏は指摘する。「だから、完全な開示と責任ある開示とは何かという議論は重要ではない。そのような議論は場違いだ」
それでもGartnerのペスカトーレ氏によると、責任ある開示には意味があるという。
「悪党が責任ある開示をしないこと、われわれがそれに対処できることは既に分かっている。事態を悪化させるようなセキュリティ企業は要らない」(同氏)
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.