Conversation

https://blog.tokumaru.org/2019/01/introduction-to-cwe-20.html
> この記事の想定読者は、企業等の脆弱性ハンドリング担当者です。脆弱性情報にしばしば出てくるCWE-20の読み解き方を説明します。
> …
> ということで、CWE-20が使われるケースの多くは、脆弱性公表側の怠慢や隠蔽意図によるケースが多く、悪意がないケースとしては「分類の難しいその他のケース」ということになるかと思います。
> …
> 私は、CWE-20の濫用は正確な脆弱性情報流通の上では有害だと考えています。もし読者が、脆弱性情報中にCWE-20と記載されているのを見かけたら、「CWE-20では何もわからないではないか」と舌打ちしつつも、そうせざるを得なかった背景についても想いを馳せると、その脆弱性に対する関心が一層高まるのではないでしょうか。

元テクニカルサポートエンジニアなのでつい書いてしまうのだけど、商用ソフトウェアやクラウド事業者などのサポート担当者にも知っておいてほしい内容。なぜかと言うと、いざ脆弱性が公開されてCWE-20が割り当てられたとなると、企業等の脆弱性ハンドリング担当者から問われるケースがあるからだ。