wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

再発防止には「入手した脆弱性情報の適切な評価」をプロセスに含めることも対策に含めるべきではないか

脆弱性情報は、早期に入手すればするほど「危険性の評価」が難しくなる傾向にある。これは、公開情報などを契機に「早期に」入手できた情報には「PoCなどが伴わない」ことが多いからだ。この場合、おおざっぱには当該情報をもとに「対処する」「PoCなどの公開がされないか経過観察する」「対処しない」という三択になる。