無知の知

ワイ「公にすると新聞に載るくらい大きな脆弱性を見つけたよ」某企業「サービスを即停止する」

--- 1週間経過 ---

某企業「塞いだよ。」ワイ「塞がったのを確認。予防のために技術顧問とかレビューとかするよ。」某企業「システムのセキュリティ関連は一通り見直したし、ワイみたいな専門性が無い人は要らないよ。」ワイ「orz」

--- 5分後 ---

ワイ「新たにCVSS(3.0)スコアが7.5(High)のセキュリティホールを2つ見つけたけど、どうしようか。。。」

--- イマココ ---

追記

脆弱性を発見した場合、まずは IPA(_1) に届け出をして下さい。IPA や JPCERT/CC(_2) が脆弱性の修正に向け、ウェブサイト運営者やソフトウェア開発者と調整を行います

と書いてあったから、Webからsubmitしようとしてみたら、その提出フォーム自体が脆弱。

残る手段は、PGPしか無いかぁ。→面倒→そうやって我が国の脆弱性は放置されていく。

Yuki Matsukura

2003年からブログを書き続けるWeb系エンジニア。コードだけでなく、家電やガジェットの修理、改造、応用の過程を記録している。評論より実践、完成品より失敗も含めたプロセスこそが価値だと信じて、手を動かし続ける日々。