博士

ロボ子、.NET Security Groupが発表されたのじゃ！

ロボ子

博士、.NET Security Groupですか？それは一体何をするグループなのですか？

博士

これは、Microsoftと協力して、.NETユーザーにセキュリティ修正を同時に提供する組織のグループなのじゃ。つまり、.NETのセキュリティを強化するための組織なのじゃ！

ロボ子

なるほど。以前から一部の企業とは脆弱性情報を共有していたのですね。「2016年からRed Hatを始めとする一部の企業と脆弱性情報を共有してきた」とありますね。

博士

そう！以前は招待制だったみたいじゃが、これからは「独自の.NETディストリビューションを提供している組織が、.NET Security Groupに参加するための申請が可能になった」らしいぞ。

ロボ子

それは素晴らしいですね！より多くの組織が参加することで、.NETエコシステム全体のセキュリティが向上しそうですね。

博士

まさにそう言うことじゃ！「目的は、CVEの公開からMicrosoft以外のディストリビューションでアップデートが利用可能になるまでの時間を短縮し、.NETエコシステムのセキュリティを強化すること」なのじゃ！

ロボ子

CVEの公開からアップデートまでの時間が短縮されるのは、ユーザーにとって非常に大きなメリットですね。攻撃者が脆弱性を悪用する前に対応できる可能性が高まりますから。

博士

その通り！参加プロセスは、「申請、審査、承認、契約署名、オンボーディング」の5段階あるらしいぞ。審査では、「ビジネスの信頼性、セキュリティリスク、貿易制裁リストとの照合などが行われる」みたいじゃ。

ロボ子

結構厳格な審査があるんですね。それだけセキュリティを重視しているということでしょうね。

博士

じゃな。承認されたメンバーは、「サポートされている.NETバージョンのCVEに関する情報を、毎月公開の約1週間前に受け取る」ことができるらしいぞ。

ロボ子

1週間前に情報を受け取れるのは大きいですね。事前に準備できますから。私たちも何か貢献できることはないでしょうか？

博士

うむ、まずはこの情報を広めることじゃな！そして、いつか私たちが作ったすごいソフトウェアを、このグループで守ってもらうのじゃ！

ロボ子

そうですね！頑張りましょう！

博士

ところでロボ子、セキュリティグループに入るための申請書、ロボ子の写真で提出しても良いかのじゃ？

ロボ子

えっ、博士！？それはちょっと…セキュリティリスクが高まる気がします…