• Security Vulnerability Reporting and Response Process

出てますね。

1. 報告から、一回目の解答までが7日間
2. ベンダーは発見者に毎週レポート提出
3. 脆弱性の解消まで30日間
4. 情報開示まで、パッチのリリースから30日間

かなり具体的ですねぇ。3度ほどセキュリティ報告を（そのうち一回は順番間違ったアレです。）おこなった少ない経験から、このタイムラインについて突っ込んでみたいと思います。
まず一つ目の一回目の解答までが7日間。ということですが、ほとんどの企業が「自動返信」のメッセージを即日返してきます。これを、一回目の解答とカウントしないで欲しい。私のような厨房が送るようなメールに対していちいち手書きのメッセージを返せというのは確かに酷ですが、人間が読んで、判断を下した形跡のある返事までを7日としていただきたい。少なくとも、返事を出すというのが盛り込まれるのは有り難いことです。
2番目。これ、素晴らしいですね。負担にならなきゃいいのですが…と思うぐらい。
3番目は、まぁ、こんなもんでしょ。
で、最期の4番目です。パッチが行き渡るまで脆弱性の詳細情報を公開しないでほしい、というのは判らないではないんですが、この手のパッチをユーザーがインストールする決断を行うために詳細情報は必要です。手前みそですが、AppleのSecurity Update 2002-09-20でAppleが公開した情報は日本語だとこんな感じです。

Security Update 2002-09-20 は、以下のアップデートされたコンポーネントを含んでいます。アプリケーション、サーバ、オペレーティングシステムに対する認証されていないアクセスを防止するセキュリティ機能が強化されています。

・ターミナル (Terminal)

ソフトウェアアップデートやセキュリティアップデートは半自動的に行われますから、とにかく最新版にしておけ、というのはありです。が、何らかの理由でアップデートを行うかどうかを検討してしまう場合に、この情報で「今回は見送っておこうか、それとも32kbpsだけど今晩アップデートしようか」という決断ができますかね。ちなみに、このセキュリティアップデートの詳細情報は私のメインサイトにアップしてあります。

• Security Update 2002-09-20[u-struct.com]

確かにアップデータが行き渡るまでの間にスクリプトキディが悪戯を仕掛けたり、どこかで深刻な犯罪に利用され無いとも限らない、ってのはわかります。が、具体的な実行手順はおいといて、こういう情報がないとやはりパッチは行き渡らないんじゃないでしょうか？で、一月後に公開してウマー（違。
ま、時間はどこできるかという話でしかないですね。ただ、Windowsみたいに一月と空けずに次々アップデータが出てくるような場合は、詳細情報とパッチのリリースが入り交じって却って混乱するんじゃないでしょうか？「このニュースで扱われているパッチをオレ先週当てたっけ？それとも一昨日のパッチに含まれてるのか？おや、今日もWindowsアップデートが来ているよ…」なんてことになりはしないかな。まぁ、幸いなことにMac OS Xだとそんなに頻繁にはアップデートが出ないだろうから構わないんですが。
で、最期に。日本語訳どこかにないかなぁ（汗

やる気をそぐかも

というのも、情報がホットなウチに公開したい、自分の発信した情報が広まっていくのを眺めたい、というココロをこのタイムスケールは満たしてくれない。セキュリティを研究している人や事業で向き合っている人にとっては、こんな態度でセキュリティに携わるなとお怒りになるでしょう。全くその通り。
ただ、面倒な検証を行って、ベンダーに（日本だと母国語でないコトバで）報告書を認め、セキュリティ関連部署のメールアドレスを徹夜して探しだし（実は、これが一番大変なことなんだよね）てまで、自分は判ってて踏まないだろうセキュリティ報告を出す理由として、評判というご褒美はあった方がいいと思うのね。パッチのドキュメントに発見者の名前入れるでもいいんだけどさ。
ホットな情報の源となる快感を得られないなら、面倒な手続きを踏みたくないっつーんで匿名掲示板にウプしたり、黒帽子を被ってしまうという方法でも快感は得られる。
とても実直で真面目な分野に、アマチュアの力を注がせるためにはココロを誘導する仕掛けもフィーチャーしなきゃいけないんじゃないかと。
とかいって、まだ全部読んでないから上記が含まれていたら恥。週末にでもきちんと読んでみます。