Responsible disclosure とは

コンピュータセキュリティなどにおいて、責任ある開示は、脆弱性または問題が修正または修正されることができる一定の期間が経過した後にのみ、脆弱性または問題が開示される脆弱性開示モデルです。この期間は、モデルを完全な開示から区別します。
ハードウェアとソフトウェアの開発者は、間違いを修復するためにしばしば時間とリソースを必要とします。ハッカーやコンピュータセキュリティ科学者は、脆弱性を高い評価を得て一般に知らせることは、社会的責任であるとの見解を示しています。これらの問題を隠すことは、誤った安全を感じる可能性があります。これを回避するために、関係者は、脆弱性を修復し、将来の損害を防ぐ期間に同意し、同意します。脆弱性の潜在的な影響、緊急の修正または回避策の開発および適用に必要な予想される時間、およびその他の要素によっては、この期間は数日から数か月の間で異なる場合があります。インターネットを流通チャネルとして使用してソフトウェアを修正する方が簡単です。
責任感のある開示は、財政的に補償されることを期待しているセキュリティ研究者を満足させることはできませんが、補償を期待してベンダーへの脆弱性を報告するのは恐喝と見ることができます。脆弱性の市場が発達している間、脆弱性の商業化は、脆弱性の開示という概念に結びついて熱く議論されているトピックです。今日、商業脆弱性市場の主な2つの主な企業は、2003年に脆弱性貢献者プログラム(VCP)を開始したiDefenseと2005年に開始されたZDI(Zero Day Initiative)を持つTippingPointです。これらの組織は、材料は買った。 2003年3月から2007年12月の間に、MicrosoftとAppleに影響を及ぼす脆弱性の平均7.5%がVCPまたはZDIのいずれかによって処理されました。バグの賞金を支払って責任ある開示を財務的に支援する独立系企業には、Facebook、Google、Mozilla、Barracuda Networksなどがあります。
Vendor-secは責任公開のメーリングリストでした。すべてではないにしても、多くのCERTグループが責任ある開示を調整している。