Сообщать о дырах нужно будет в установленном порядке

Author:

Вячеслав Ансимов

В Internet Engineering Task Force (IETF) — организацию, ответственную за разработку и утверждение протоколов и стандартов Интернета, — представлены для публичного обсуждения предварительные документы (Internet Draft) с описанием процедур и правил раскрытия информации об обнаруженных уязвимостях в программном обеспечении.

Авторами концепции, озаглавленной «Responsible Disclosure Process«, являются эксперты по безопасности Стив Кристи из корпорации MITRE и Крис Уисопэл из компании @stake. Их предложения предусматривают создание координационных центров, которые должны осуществлять взаимодействие обнаружителей дыр и багов с разработчиками и поставщиками ПО. Для сообщений об уязвимостях предлагается стандартная форма. Кстати, в 1999 году именно в MITRE была предложена унифицированная база данных для описания дыр в ПО CVE (Common Vulnerabilities and Exposures).

Правила предусматривают семидневный срок, в течение которого поставщики обязаны отреагировать на сообщение о найденной дыре, а также выполнить ряд других обязательных для обеих сторон процедур.

В настоящее время информация об уязвимостях часто распространяется хаотично. Как правило, те, кто находит дыры, стремятся по тщеславным или иным соображениям сразу же рассказать о них всему миру. Пока разработчики ПО делают заплатку, множество вредителей и хулиганов успевают воспользоваться багом, часто причиняя ущерб многим людям.

Особенно это бьет по нерасторопным производителям вроде Microsoft, которая иногда не реагирует на предупреждения месяцами. Именно поэтому данная корпорация усиленно пытается протолкнуть ограничения на распространение информации о дырах.

ССЫЛКИ ПО ТЕМЕ


Responsible Vulnerability Disclosure Process — IETF, 02.02

Disclosure Guidelines For Bug-Spotters Proposed — Newsbytes, 21.02.02

МАТЕРИАЛЫ ПО ТЕМЕ


Microsoft требует держать дыры в секрете12.11.01