Nowe zasady Microsoftu w kwestii obchodzenia się z lukami
23.07.2010 13:31, aktual.: 23.07.2010 13:49
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Reagując na nasilającą się krytykę pod adresem stosowanej przez Microsoft polityki wobec nowo odkrytych luk bezpieczeństwa, koncern ogłasza zmianę strategii: Responsible Disclosure umarło, niech żyje Coordinated Vulnerability Disclosure.
Reagując na nasilającą się krytykę pod adresem stosowanej przez Microsoft polityki wobec nowo odkrytych luk bezpieczeństwa, koncern ogłasza zmianę strategii: Responsible Disclosure umarło, niech żyje Coordinated Vulnerability Disclosure.
Na pierwszym planie, tak jak wcześniej, znajduje się współpraca pomiędzy specjalistami ds. bezpieczeństwa a producentami, której celem jest uchronienie klientów przed możliwymi szkodami. Publikacja informacji o usterce bezpieczeństwa ma następować w momencie, kiedy producent stworzył i wydał dla niej patcha. Microsoft nie wspomina nic o punkcie krytycznym –. o takim zdarzeniu mówimy, gdy publikacja poprawki przeciąga się przez wiele miesięcy albo nawet dłużej niż jeden rok.
Nie dalej jak wczoraj, zespół Google Security Team zaproponował 60-dniowy termin, w trakcie którego producent miałby przygotowywać patche dla krytycznych luk. Jeśli by tego nie zrobił, specjalista od bezpieczeństwa ma prawo przedstawić odkrycie opinii publicznej. U Microsoftu o niczym takim nie ma mowy. Jedyne ustępstwo software'owego giganta na rzecz niecierpliwych brzmi: jeśli udowodniono, że jakaś luka jest czynnie wykorzystywana, zanim producent przygotuje poprawkę, uzasadnione jest ujawnienie luki. Jednak koncern chce współpracować także ze zwolennikami konkurencyjnej koncepcji Full Disclosure – stwierdza Katie Moussouri poruszając tę kwestię we wpisie w blogu.
Za tym, że nie trzeba zachowywać milczenia w sprawie problemów z zabezpieczeniami, które są już od jakiegoś czasu wykorzystywane do ataków, przemawia nawet zdrowy rozsądek. Główną nowością jest więc w tym przypadku jedynie zmiana terminologii. Tym niemniej sygnalizuje ona, że wszystkim, którzy są innego zdania, nie będzie już przypinana łatka nieodpowiedzialnych, tylko z tego powodu, że odrzucają zasady gry określane przez Microsoftową interpretację odpowiedzialnego ujawniania. Nie jest to wiele – choć zawsze jakiś znak, że w bardzo emocjonalnej dyskusji, która chwilowo osiągnęła impas, znów pojawia się ożywienie.
wydanie internetowe www.heise-online.pl
