Microsoftは、彼らのアプローチは違いこそすれ、Microsoftとバグハンターはもっと安全なコンピューティング環境を目指すというゴールは同じだという結論に達した。さらにMicrosoftは、コミュニティのメンバーを味方にする必要があった。
Microsoftは、同社のテストプロセスを素通りして製品に混入したバグの報告については、社外の人々に依存している。同社では「責任ある開示」と呼んでそのプロセスを提唱し、発見者は脆弱性をベンダーに報告し、ベンダーがその問題を合理的な期間内に修正するという条件で、脆弱性を公表しないことに合意するというものだ。
その考えは今なお多少の議論を呼んでおり、すべての人が受け入れたものではない。一部の人からは、バグが見つかったら、パッチがベンダーから入手できなくても、リスクに瀕している人は自分で自分のシステムを守れるようにするためにバグを公表すべきだ、という意見もある。合理的な期間とはどの程度かを巡って議論も再三起こる。
また、Blue Hatでは文化的衝突も依然として起こる。2007年初頭のMicrosoftのカンファレンスセンターでは、招待された研究者が発表を行っている間、エンジニアたちは静かに腰掛けてノートパソコンのキーボードをたたいていた。一方、隣の建物にある講師の控え室では、研究者たちはスナックを頬張りながら、テレビの画面に映る仲間の姿をながめていた。
Shane Macaulay氏はMicrosoftの新しいグラフィックエンジンを使って、コードとデータとの対話を視覚化する方法について講演した。その途中で、データの「hooker」について話が及んだ。その言葉は売春婦を意味するものではなく、アプリケーションがOSを呼び出すのをインターセプトする行為を指すのだが、その言葉を使ったことで、講師の控え室からはクスクス笑う声が聞こえてきた。
Stathakopoulos氏はジョークを飛ばすようなタイプではなく、その言葉を心に留め置いた。
Macaulay氏の発表に対して、「彼をみくびるのは間違いだ」と小声で言った。
初心者、Black Hatに戻る
イベントでは2つのグループは別の部屋に居たとはいえ、そのグループが交流したという事実は大きな変化の兆しを物語っている。今日のコラボレーションは、1997年にMicrosoftが最初のメンバーをラスベガスのBlack Hatセキュリティショーに送ったことに端を発する。事態を前に進めたのは2003年のBlack Hatで、パームスホテルの流行りのバーであるGhost Barを借り切って、Microsoftの負担で参加者を飲食に招いたことだ。
Stathakopoulos氏は、ハッカーが一方の壁際に居並び、Microsoftの社員が別の壁際に並んでいる様子を見て、まるで高校生のダンスパーティーのようだったと語る。
しかし、次第に会話が始まり、ラスベガスを去った後も会話は続いた。Cushman氏は、セキュリティコミュニティと係わり合いを持つことで、Microsoft社内にもセキュリティに熱心で、外部コミュニティの人間と同じくらい頭が切れる人間がいることがコミュニティの人間にも理解できた。そのような対話がなければ、外部の人間はMicrosoftは無関心だと決め付け、Microsoft社内の人間は、セキュリティコミュニティは他者が悪用できるセキュリティホールをただ見つけたいだけと思い込んでも仕方がないと語る。
理解が進んだおかげでお互いを尊重する気持ちも高まったが、Cushman氏は社内の幹部らに対して、顧客を保護するベストな方法については意見の不一致があることを忠告した。このアプローチが功を奏するかは、Microsoftが行動で示すかどうかにかかっていると述べた。
そのBlack Hatパーティーから2年後、Microsoftはパーティーの参加者の何人かを第一回目のBlue Hatに招待した。このイベントはBlack Hatのプレーオフで、Microsoftの社員は青バッジをつけた。
社内全員がこのアイデアに対して熱心というわけではなかった。当時Windows開発チームのリーダーだったJim Allchin氏もその一人だ。
Stathakopoulos氏は、「セキュリティコミュニティとの対話を始めたときは、Allchin氏は不愉快そうに見えた」と語る。しかし、考えに共感を寄せるようになり、「実は、彼は経営幹部のセッションの席についた最初のメンバーになったんだ」と語る。
Allchin氏は結局Blue Hatの最大の推進論者となり、イベントを善意に解釈して、開発者教育の価値があると持ち上げた。
