独立行政法人情報処理推進機構(IPA)は3月31日、「製品開発者向けガイド」と「製品利用者向けガイド」を公開した。
ソフトウェアの製品開発者が実施すべき脆弱性対処とその開示方法を掲載した「製品開発者向けガイド」では、実施すべき対処を段階的に示しており、リソースに限りのある製品開発者が可能なところから取り組めるよう構成している。なお、同ガイドは、2020年に公開している「脆弱性対処に向けた製品開発者向けガイド」を基に作成している。
「製品開発者向けガイド」が対象とするのは、主に不特定または多数の製品利用者が利用するようなインターネット等のネットワークに接続する下記のような製品。
単体で販売されるソフトウェア
単体で販売されるパッケージソフトウェア
機器に組み込まれるソフトウェア、ソフトウェアを組み込んだ機器 等
ソフトウェアの製品利用者が実施すべき脆弱性対処を掲載した「製品利用者向けガイド」では、脆弱性対処のうち、人材・プロセス・技術の整備や方針・体制について組織のリソースに応じて実施できるよう段階的に示しており、可能なところから着手できるよう構成している。
「製品利用者向けガイド」が対象とする製品は下記の通り。
ソフトウェア・パッケージソフトウェア
ソフトウェアを組み込んだ機器
上記を含めて構築されるシステム・サービス(自社開発・委託開発を含む)
