Ведомства Японии, отвечающие за информационную безопасность – Министерство экономики, торговли и промышленности (METI), Агентство по продвижению информационных технологий (IPA) и центр реагирования JPCERT/CC – 16 сентября 2025 года опубликовали совместное напоминание о необходимости строгого соблюдения правил координированного раскрытия уязвимостей. В заявлении подчёркивается: технические детали, позволяющие злоумышленникам эксплуатировать уязвимости в программных продуктах и сервисах, нельзя передавать третьим лицам без законных оснований. Речь идёт об использовании утверждённой процедуры раннего предупреждения об уязвимостях (Guideline for Early Warning), которая описывает последовательность действий при их обнаружении.
По мнению авторов документа, неконтролируемая публикация информации об уязвимостях, особенно до выхода исправления, повышает риск кибератак: атакующие успевают подготовить эксплойты, а пользователи и разработчики ещё не получили патчи. Поэтому исследователям и организациям предлагается назначить ответственное лицо за CVD‑процесс, использовать стандартизованные каналы связи для передачи информации и фиксировать сроки, в которые поставщик должен устранить пробл
Кроме того, разработчикам рекомендуется документировать исполнение и проверять исправления, а пользователям – следить за своевременным обновлением програм.
В документе также уточняется, что любое раскрытие деталей возможно только после выхода исправления или при наличии угрозы массовой эксплуатации, а все юридические вопросы регулируются приказом METI о порядке обращения с данными об уязвимостях для ПО и изделий ИКТ. Организации должны заранее подготовить шаблоны уведомлений для клиентов, а также регулярно проверять своитрекеры, чтобы не допустить преждевременной публикации PoC‑кодов. Кроме того, всем участникам процесса рекомендуется вести журнал переданных сведений, чтобы при необходимости можно было подтвердить соблюдение процедуры. Это напоминание подчёркивает важность ответственности всех участников цепочки – от исследователей до поставщиков и конечных пользователей – и направлено на снижение числа успешных атак на уязвимые системы.
ему.
