Microsoft zmienia podejście do ujawniania luk w bezpieczeńs

2010-07-23

Przez ostatnie kilka lat Microsoft promował odpowiedzialne zgłaszanie błędów w bezpieczeństwie (responsible disclosure), teraz podejmuje nową strategię.

Korporacja uznała, że dotychczasowe określenie nie było odpowiednie wzbudzając niepotrzebne emocje. Nowe podejście zostało określone mianem skoordynowanego ujawniania dziur w bezpieczeństwie (Coordinated Vulnerability Disclosure). Jakkolwiek nadal Microsoft nie ma pozytywnego zdania na temat natychmiastowego ujawniania szczegółów odkrytej luki, tak teraz kładzie nacisk na współpracę między odkrywcą luki a dostawcą oprogramowania. Badacze bezpieczeństwa mają zgłaszać luki bezpośrednio twórcy oprogramowania bądź też zaufanej stronie trzeciej, np. CERT-CC, która przekaże informacje twórcy. W tym momencie odkrywca i dostawca oprogramowania mają uzgodnić termin ujawnienia szczegółowych informacji na temat luki oraz rozpocząć współpracę w celu jej załatania. Współpraca ta ma obejmować dokładne testy zagrożenia, opracowanie obejść oraz przygotowanie poprawki.

W ramach CVD dopuszczone zostało publiczne ujawnienie luki w sytuacji gdy przeprowadzane są już ataki z jej wykorzystaniem.

autor : Grzegorz Niemirowski
źródło : dobreprogramy.pl