脆弱性情報の公開の方法、段取りなどについては、結局正解が無いっていうか、フルディスクロージャー論議系でデファクトスタンダートっぽいのがぼやっとあるくらい？なんだけど、中でもexploitコードを公開するのかどうか、みたいな議論は昔から絶えないすねえ。
公開することで誰がどう利用するのか？と考えると、結局のところごく少数のセキュリティベンダーや管理者が追試に利用するか、あとは黒い人の利用しかないような気がします。ってことはセキュリティベンダーや管理者の情報流通ネットを作っておいて、会員制でこそこそ流通するのがいいのかなーと短絡的には考えちゃいますが、そうすると困る人って非会員な管理者とかベンダーってことなんですかねえ？
そもそも誰を会員とするのか、という大きな問題があるんでしょうけど。もう一つ大きい問題は、会員を決められたとして、その中だけでパワーが足りるのか？という話すかねえ。ということは、いかにして上手に囲い込み＆リソース釣りができるか、というのが、その会員制ネットのポイントになりそうすなあ。
オープンにした場合、黒い人の目に触れがち、という話はありますが、会員制にしたところで結局黒系白系の開発競争みたくなっちまう可能性もあるわけで。とすると、このままオープンなままにしといて、競争というよりは別の方向性で黒系の切り崩しを行う方が、方法論としてはコストパフォーマンスが良さそうな気がしますが、どうでしょうねえ？
こんな動きもあるんですなあ。EU sets up cyber crime unit