脆弱性情報の届出に関してでた意見

きゅーりとトマト

こじませんせいのところを見て、大事な話を書き忘れていたのを思い出した。先日のまっちゃ139勉強会のディスカッション中に出た意見。
海外でも利用されているようなオープンソースなソフトウェアを開発していて、JPCERT/CCから脆弱性の連絡を受けたときに、修正して新バージョンや通知を日本語で出すと、「英語で概要を教えてほしい」という要請が海外から来たりするそうです。で、仕方ないので開発者の方が英語に直して連絡すると、JVNに遅れること数日後にCVEに掲載されたりするそうですが、このあたり、国内と海外で発表の足並みが揃うようにとか、もう少し開発者の負担を減らすようにはならないですかね、という意見が出ていました。届出様式に海外での利用状況という欄が追加されたことからも、今後は少しでもそういう方向に動くとよいですね、と思うのですがどうなんでしょう。