ワイ「公にすると新聞に載るくらい大きな脆弱性を見つけたよ」
某企業「サービスを即停止する」
— 1週間経過 —
某企業「塞いだよ。」
ワイ「塞がったのを確認。予防のために技術顧問とかレビューとかするよ。」
某企業「システムのセキュリティ関連は一通り見直したし、ワイみたいな専門性が無い人は要らないよ。」
ワイ「orz」
— 5分後 —
ワイ「新たにCVSS(3.0)スコアが7.5(High)のセキュリティホールを2つ見つけたけど、どうしようか。。。」
— イマココ —
追記
脆弱性を発見した場合、まずは IPA(1) に届け出をして下さい。IPA や JPCERT/CC(2) が脆弱性の修正に向け、ウェブサイト運営者やソフトウェア開発者と調整を行います
ERROR: The request could not be satisfied
www.npa.go.jp
と書いてあったから、Webからsubmitしようとしてみたら、その提出フォーム自体が脆弱。
残る手段は、PGPしか無いかぁ。→面倒→そうやって我が国の脆弱性は放置されていく。
コメント