ここ数日話題になっている Opera の脆弱性公表問題について、Opera Desktop Team blog でリリース責任者のクラウディオから Handling Security と題したコメントが出ている。
脆弱性問題公表の過程について、一般論を交えながら解説されているので、主要部分を訳出しておく。

誰かがアプリケーションに脆弱性を発見した場合、その人はベンダに報告すべきである。報告者が脆弱性の公表日時を設定出来る場合もあるが、通常は両者が納得する期日が設けられるものである。
脆弱性の内容が明確でない場合には、両者共同でその実証に取り組む。こうした後、対策が済むと、報告者とベンダ双方から脆弱性勧告が公表される。ベンダは通常、勧告の中で報告者に脆弱性発見の功績を認める事となる。
重要なのは、両者が互いを尊重し合うことである。（外部テスタのための実験版）スナップショットで修正が施された場合、その修正について、実験版では公表されないものである。これは報告者と安定公開版だけで更新を行う一般ユーザ、双方のためである。安定版において脆弱性の修正がなされる前に情報が公開されると、多くのユーザを危険にさらす結果となる。良心的な報告者はベンダが公開版で修正を完了するまで脆弱性を公表しないし、ベンダは報告者が脆弱性発見を公表するまで、発見の功績を尊重するため発表を行わない。
たとえ既に修正が済んでいても、修正一覧（チェンジ・ログ）で言及しない問題というのが生じる場合がある。他社の同様の製品における修正を待つ場合がそうだ*1。
しばらく前に Yngve が、ブラウザにおけるセキュリティ問題とは正確には一体何なのかについて、素晴らしい要約を投稿した。既に書かれた点ではあるが、さらに重ねて強調しておきたい。Opera において我々はセキュリティと極めて真剣に取り組み、報告される一々のセキュリティ問題について慎重に分析と評価を行っている。脆弱性の深刻さの段階評価が、我々の内部セキュリティ・チームによって後に格上げされる事も有り得る。分析が進む中で当初の深刻さが正確ではないと明らかになる事もあるからだ。しかしその際にも我々の第一の目的は問題の修正にある。より精密な分析が修正の後になされる事もあり、それによって当初の発見が修正される場合すらある。
さて 9.10 のリリースに際して二つの脆弱性公表が遅れた問題は、リリース時期とクリスマス休暇が重なるという不幸な一致に依るものである。みなさん、良いお年を、そして安全なブラウズを。そしてまだならば、9.10 への更新をお忘れなく。