モジラ幹部：「バグハンターがプロセス掌握」--脆弱性「責任ある開示」で発言 - (page 2)

　セキュリティ調査会社Veracodeの創業者兼最高技術責任者（CTO）、Chris Wysopal氏は、バグハンターらが実権を握っているとの見方を否定する。同氏は、「多くの脅威が存在し、訴えられる脅威にさらされるのは楽ではない」と語っている。

　セキュリティ研究者らに対して法的報復に出るベンダーは、自分のやっていることが分かっていない企業の見本のようなものだと、侵入防止製品ベンダーTippingPointのセキュリティ調査マネージャーRohit Dhamankar氏は語っている。

　Dhamankar氏は、「MozillaやMicrosoftなど、非常に洗練されたベンダーもあれば、優れたプロセスのことを何も分かっていないベンダーもある」と語っている。同氏によると、やはりバグを発見したセキュリティ研究者らに報酬を支払うTippingPointは先ごろ、あるウェブポータルソフトウェアメーカーから訴訟の可能性を示唆されたという。

　ImmunityやTippingPointなどの企業各社は、ライバル各社に対し競争上優位に立つため、脆弱性を見つけたバグハンターらに報酬を支払っている。バグ情報を購入することで、これら各社の製品は、ほかのどの製品や正式なパッチより先に問題を検知できる。

　結局、脆弱性は一般開示がないと修正されないと、Wysopal氏は語っている。同氏は、「それをベンダーに伝えることが責任ある行動だが、脅威が公表されないとベンダーが何の対応も取らず、それで終わりになってしまう。実際に何かを修正するにはそれを一般に開示するしか方法がない」と語っている。

　MozillaのSnyder氏は、30日あればソフトウェアメーカーがパッチを用意するには十分だとし、責任ある開示のガイドラインに従うようバグハンターらに呼びかけた。

　「現状の作業について感謝している。（セキュリティの脆弱性が）公になる前に少しでも注意を促してもらえることに感謝している。30日という日数にも感謝しているが、もらえるなら何日でも良い」