10/11/28 03:07:02 iMgyZ7hK0
一応、知っている人は知っているだろうけど
致命的な脆弱性がバグトラックに登録されて直されないままリリースされていたり、
Chromeでも修正されていない脆弱性が登録されたら、危険じゃないのか?と思うかも知れない
でも、こういうのはコンセンサスというのか?オープンソースのアプリの場合の決まりとして、
致命的な脆弱性はいきなり公開されているバグトラックに登録したり、メーリングリストに投稿しないでという決まりになってる。
非公開のメーリングリストへの窓口があったりする。
前にどっかのリンゴの会社の開発者がライセンス不明の脆弱性を修正するパッチを突然投稿して、
ひどいことになったソフトがあった。
世の中には開発者に報告しないで見つけた脆弱性を使ってWebアプリで「こんにちは!こんにちは!」みたいないたずらする人いるけどね。
大概は数時間で直されるけど、それを利用して便乗で悪乗りしたり悪用する人もいるからなんとも