# Hamachiya2 『
> 脆弱性の公開は、修正後が基本です。
え！それって誰ちゃんと誰ちゃんの間での基本ルールなんでしょうか！
よかったら、ぼくもこんど仲間に入れてね…！』
# otsune 『>え！それって誰ちゃんと誰ちゃんの間での基本ルールなんでしょうか！
いろいろ海外のSecurity界隈で話し合った結果の「脆弱性を報告する善意な人」のルールかなぁ。（当然Crackerはそのルールを守ることを期待されていないので除外される）
逆説的に、そのルールを理解出来ないし守るつもりもみられない人は「わざととぼけたCracker」と見なされる。という話。』
# Hamachiya2『
otsuneさま教えてくれてありがとう！
わーキホンだったのか、ぼくそんなの知らなくてどうしよう！とか思ってたんだけど、それをきいて安心したよ！
どこかの国のセキュリティの話題が好きな人たちの集まりでのローカルルールだったんだね！参考になった！』

修正後の公開は、もしかしたら「どこかの国のセキュリティの話題が好きな人たちの集まりでのローカルルール」なのかも知れないけれど、修正前に脆弱性を公開することに関しては「経済産業省告示第235号」にて以下のように示されている。

Ⅵ. 対象がウェブアプリケーションである場合の脆弱性情報取扱基準
 １．発見者基準
  （４）発見者は、当該脆弱性が修正されるまでの間、当該脆弱性情報を第三者に漏洩しないように適切に管理すること。

日本という国でのローカルルールですので、ぜひ id:Hamachiya2 さんも仲間に入ってください。