脆弱性の報告について顕在化してきた問題があったので取り上げます。
JavaScript 開発者が使用する最も人気のある IP アドレス解析ユーティリティの一つである「node-up」の作者は、GitHubリポジトリをアーカイブし、事実上読み取り専用に設定変更しました。
「node-up」に報告された脆弱性が、レベル「重大」として報告されましたが、開発者はこれに疑わしいと反論していますが、cveに異議を唱えるのは簡単な作業ではありません。
このような問題は、以前からもあり脆弱性が毎年増えていく中で考えなければならない課題です。
CVEを発行できるのが、セキュリティ研究者以外にセキュリティ愛好家にも拡がっており、その人達の動機として、CVEを収集し自身の履歴書を充実させることがあります。
本当に修正しなければいけない脆弱性から目を背けさせるような問題に発展していることは意識しなければいけません。
脆弱性は再現性が高いものに限って修正するというようなルールを設け、再現性が低いばかげたバグについては修正を後回しにするなどのポリシーが必要になりそうです。
記事の中で今後の課題として挙げられているものは以下のものがあります。
・オープンソースのソフトウェア開発者のノイズのトリアージ疲弊
・セキュリティ愛好家がオープンソース開発者のことを思ってセキュリティの欠陥を報告しないのは問題
・何年も手付かずのオープンソースはセキュリティ修正も放置される