アカウント名:
パスワード:
自身が見つけた脆弱性が90日で修正されなくて公開とかされると面白い展開ではあるんだけど
Chrome40のアップデートを見ると、だいたい2カ月くらいで直してますね。ってことは、Chromeは最長でも90日でどんどんアップデートされていくってことになるのかも。
Androidが90日毎にアップデートされている様子は無いけど、サポートはやめたというWebkitの脆弱性は90日以上たったら公開するのかな。
GoogleがサポートするAndroidは最新版とその一つ前の版のみ [google.com]というポリシーということ。また、Jellybeanへのパッチを提供しないことは2年以上たった古いコードであるためとのこと。Googleが他社のOSについてもこのポリシーに則ってリリースされて2年以内の直近2バージョンのOSの脆弱性のみを公表しているならフェアですけど、そうでないならアンフェアですよね。
だって、古いOSは最新版にアップデートせねばならないんでしょ?2年以上たったコードの修正は困難だからするひつようはないんでしょ?
何を言っているのかさっぱりわからないのだが。仮にGoogleが"リリースされて2年以内の直近2バージョンのOSの脆弱性"以外を公表していたとして、フェアでないのは、リリースされて2年以上たつOSの脆弱性公表をGoogleが非難した場合だけだよね。Googleは古いOSは俺は知らん。Googleがメンテナンスしている端末ならアップデートしろ。それ以外は提供元の責任だ、といっているだけ。
“ベンダーがサポートしているOSの脆弱性を公表する”という姿勢で一貫していれば、フェアと言えるのでは
このことですかね。Androidの脆弱性報告を受けるも、重要度低とみなして90日過ぎても対応してないってやつ。http://www.itmedia.co.jp/enterprise/articles/1501/27/news047.html [itmedia.co.jp]
いいかげん、利用環境も規模もサポート方針も異なるソフトウェア達に自分は対応できるからといって、オレオレルールを強いるのはやめるべき。
AppleやMSが数年ごとにOS刷新して互換性捨てたら、そりゃ脆弱性対応は捗るかもしれんがそんなこと望んでいる人はあまりいないと思うけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
Google自身も (スコア:3)
自身が見つけた脆弱性が90日で修正されなくて
公開とかされると面白い展開ではあるんだけど
Re: (スコア:0)
Chrome40のアップデートを見ると、だいたい2カ月くらいで直してますね。
ってことは、Chromeは最長でも90日でどんどんアップデートされていくってことになるのかも。
Androidが90日毎にアップデートされている様子は無いけど、サポートはやめたというWebkitの脆弱性は90日以上たったら公開するのかな。
Re: (スコア:0)
GoogleがサポートするAndroidは最新版とその一つ前の版のみ [google.com]というポリシーということ。また、Jellybeanへのパッチを提供しないことは2年以上たった古いコードであるためとのこと。
Googleが他社のOSについてもこのポリシーに則ってリリースされて2年以内の直近2バージョンのOSの脆弱性のみを公表しているならフェアですけど、そうでないならアンフェアですよね。
だって、古いOSは最新版にアップデートせねばならないんでしょ?
2年以上たったコードの修正は困難だからするひつようはないんでしょ?
Re: (スコア:0)
何を言っているのかさっぱりわからないのだが。
仮にGoogleが"リリースされて2年以内の直近2バージョンのOSの脆弱性"以外を公表していたとして、フェアでないのは、リリースされて2年以上たつOSの脆弱性公表をGoogleが非難した場合だけだよね。
Googleは古いOSは俺は知らん。Googleがメンテナンスしている端末ならアップデートしろ。それ以外は提供元の責任だ、といっているだけ。
Re: (スコア:0)
“ベンダーがサポートしているOSの脆弱性を公表する”という姿勢で一貫していれば、フェアと言えるのでは
Re: (スコア:0)
このことですかね。Androidの脆弱性報告を受けるも、重要度低とみなして90日過ぎても対応してないってやつ。
http://www.itmedia.co.jp/enterprise/articles/1501/27/news047.html [itmedia.co.jp]
いいかげん、利用環境も規模もサポート方針も異なるソフトウェア達に
自分は対応できるからといって、オレオレルールを強いるのはやめるべき。
AppleやMSが数年ごとにOS刷新して互換性捨てたら、そりゃ脆弱性対応は
捗るかもしれんがそんなこと望んでいる人はあまりいないと思うけどね。