Nowe zasady Microsoftu w kwestii obchodzenia się z lukami

Reagując na nasilającą się krytykę pod adresem stosowanej przez Microsoft polityki wobec nowo odkrytych luk bezpieczeństwa, koncern ogłasza zmianę strategii: Responsible Disclosure umarło, niech żyje Coordinated Vulnerability Disclosure.

Nowe zasady Microsoftu w kwestii obchodzenia się z lukami

23.07.2010 | aktual.: 23.07.2010 13:49

Reagując na nasilającą się krytykę pod adresem stosowanej przez Microsoft polityki wobec nowo odkrytych luk bezpieczeństwa, koncern ogłasza zmianę strategii: Responsible Disclosure umarło, niech żyje Coordinated Vulnerability Disclosure.

Na pierwszym planie, tak jak wcześniej, znajduje się współpraca pomiędzy specjalistami ds. bezpieczeństwa a producentami, której celem jest uchronienie klientów przed możliwymi szkodami. Publikacja informacji o usterce bezpieczeństwa ma następować w momencie, kiedy producent stworzył i wydał dla niej patcha. Microsoft nie wspomina nic o punkcie krytycznym –. o takim zdarzeniu mówimy, gdy publikacja poprawki przeciąga się przez wiele miesięcy albo nawet dłużej niż jeden rok.

Obraz

Nie dalej jak wczoraj, zespół Google Security Team zaproponował 60-dniowy termin, w trakcie którego producent miałby przygotowywać patche dla krytycznych luk. Jeśli by tego nie zrobił, specjalista od bezpieczeństwa ma prawo przedstawić odkrycie opinii publicznej. U Microsoftu o niczym takim nie ma mowy. Jedyne ustępstwo software'owego giganta na rzecz niecierpliwych brzmi: jeśli udowodniono, że jakaś luka jest czynnie wykorzystywana, zanim producent przygotuje poprawkę, uzasadnione jest ujawnienie luki. Jednak koncern chce współpracować także ze zwolennikami konkurencyjnej koncepcji Full Disclosure – stwierdza Katie Moussouri poruszając tę kwestię we wpisie w blogu.

Za tym, że nie trzeba zachowywać milczenia w sprawie problemów z zabezpieczeniami, które są już od jakiegoś czasu wykorzystywane do ataków, przemawia nawet zdrowy rozsądek. Główną nowością jest więc w tym przypadku jedynie zmiana terminologii. Tym niemniej sygnalizuje ona, że wszystkim, którzy są innego zdania, nie będzie już przypinana łatka nieodpowiedzialnych, tylko z tego powodu, że odrzucają zasady gry określane przez Microsoftową interpretację odpowiedzialnego ujawniania. Nie jest to wiele – choć zawsze jakiś znak, że w bardzo emocjonalnej dyskusji, która chwilowo osiągnęła impas, znów pojawia się ożywienie.

wydanie internetowe www.heise-online.pl

Komentarze (11)