９０日とは、えらい短いなぁ・・・

情報処理推進機構とJPCERTコーディネーションセンターによると、2008年第2四半期に届け出のあったウェブサイトの脆弱性1575件のうち、136件は90日たっても対策が完了していない。300日たっても対策が完了していないサイトは66件もあったという。

http://www.nikkeibp.co.jp/style/biz/skillup/spam/080722_103rd/

てか、取り扱い終了をせざる得ない状況になった（アプリが削除されたり・・・）

脆弱性が見つかる件数が増えても、補修により脆弱性を解消すれば、問題の拡大を止めることができる。脆弱性を悪用する者が登場するより前に対処すれば、実害が現れることがない。したがって脆弱性の深刻さを評価するには、脆弱性の発見数だけを見るのでは不十分である。補修のためにかかった期間を見ることが重要である。報告書ではこれらの日数も公表している。
今期中に受け付けたソフトウェア製品の届け出69件のうち、今期中に「取扱終了」になったものが23件、「取扱中」が46件だった。ウェブサイトの届け出208件では、「取扱終了」が185件、「取扱中」が23件だった。「取扱終了」は、脆弱性の補修を確認したものや脆弱性ではなかったもののことで、安全になったもののことである。「取扱中」は、補修の完了を確認できていない、危険な状態のままのものだ。

http://www.nikkeibp.co.jp/style/biz/skillup/spam/080722_103rd/index1.html

あくまでも推測ですが、確かにセキュリティのことを知らない人とかも多くて、作った人待ちとかもあるでしょうね。

筆者の推測では、補修までの日数がかかる理由は二つありそうだ。一つは、ソフトウェアの制作者やウェブサイトの技術者が身近にいないため、補修に時間がかかるというもの。ウェブアプリケーションの多くは仕様書などのドキュメントが整っていない。作った人以外が修正するのは難しいので、当人の手が空くまで待っていると日数が過ぎていく。

http://www.nikkeibp.co.jp/style/biz/skillup/spam/080722_103rd/index2.html

ツールやライブラリで時間を短縮させようとしたことで、逆に修正に時間がかかったりするとの事。

二つ目の理由は、保守のことまで考えずに手近なツールやライブラリを使ったことだ。ウェブサービスでは、手軽に入手できるツール/ライブラリを組み合わせることが多い。ツールやライブラリに脆弱性があった場合には、力量がある技術者ならツール/ライブラリに手を入れて自分で直す。そうでない場合には、補修版のリリースを待つしかない。フリーのツール/ライブラリの中には、メンテナンスが行われなかったり時間がかかるものがある。これまた、待っている間に日数が過ぎていく。緊急時の対処のことまで考えてソフトウェアを作るか、対処の体制を整えておく必要があるということだ。

http://www.nikkeibp.co.jp/style/biz/skillup/spam/080722_103rd/index2.html

なんか、よく聞く話だ・・・好意的かどうか、立場によってですね。セキュリティの立場としては早急に修正してもらいたいし