Black Hat Asia：ファームウェアの供給-Chain Woes Plague Device Security from darkreading.com

つまり、セキュリティの脆弱性に対処するときは、パッチを一般に公開するのは簡単なプロセスではありません。
チェーンの「ツリー」から、面倒なコードレビューが増え、バグが見つかった場合のパッチ適用プロセスが長くなります。
「パッチがあったとしても、ダウンストリームに到達するまでに非常に長い時間がかかるため、攻撃者はその間に別の脆弱性を簡単に見つけて、パッチと組み合わせることができます。これが問題です。ベンダーが話し合わないため、バグは孤立して存在します。お互いに、そしてバグは長い貯蔵寿命を持っています」
これにより、OEMがパッチを組み込むことを思いとどまらせる可能性があります。
これは、ベンダー間のコミュニケーションを促進し、パッチとバグに関する情報の集中リポジトリを作成することで実現できます。
「私の個人的な結論は、CERTやセキュリティ会社と協力することで、免疫システムをさらに改善し、エンドユーザーに修正を出荷するプロセスをスピードアップし、セキュリティの問題にすべてのベンダーが確実にパッチを当てることができるということです」とヒューズ氏は述べています。