Ответственное раскрытие - Responsible disclosure

В компьютерной безопасности , отвечает раскрытие (также известное как раскрытие скоординированной уязвимости) является раскрытие уязвимости модель , в которой уязвимость или вопрос раскрыта только после определенного периода времени , что позволяет уязвимость или выпуску , чтобы быть исправлено или рекомендованными. Этот период отличает модель от полного раскрытия информации .

Разработчикам аппаратного и программного обеспечения часто требуются время и ресурсы для исправления своих ошибок. Часто эти уязвимости находят этические хакеры. Хакеры и специалисты по компьютерной безопасности придерживаются мнения, что их социальная ответственность заключается в том, чтобы информировать общественность об уязвимостях с большим воздействием. Скрытие этих проблем может вызвать чувство ложной безопасности . Чтобы избежать этого, вовлеченные стороны объединяют усилия и согласовывают период времени для устранения уязвимости и предотвращения любого будущего ущерба. В зависимости от потенциального воздействия уязвимости, ожидаемого времени, необходимого для разработки и применения аварийного исправления или обходного пути, а также других факторов, этот период может варьироваться от нескольких дней до нескольких месяцев. Программное обеспечение легче исправлять, используя Интернет в качестве канала распространения.

Ответственное раскрытие информации не удовлетворяет исследователей в области безопасности, которые рассчитывают на финансовую компенсацию, в то время как сообщение об уязвимостях поставщику с ожиданием компенсации может рассматриваться как вымогательство. Несмотря на то, что рынок уязвимостей сформировался, коммерциализация уязвимостей остается горячо обсуждаемой темой, связанной с концепцией раскрытия уязвимостей. Сегодня двумя основными игроками на рынке коммерческих уязвимостей являются iDefense, которая запустила свою программу поддержки уязвимостей (VCP) в 2003 году, и TippingPoint с инициативой нулевого дня (ZDI), начатой ​​в 2005 году. Эти организации следуют процессу ответственного раскрытия информации с материал куплен. В период с марта 2003 г. по декабрь 2007 г. в среднем 7,5% уязвимостей, затрагивающих Microsoft и Apple, были обработаны VCP или ZDI. Независимые фирмы, которые оказывают финансовую поддержку ответственному раскрытию информации путем выплаты вознаграждений за ошибки, включают Facebook , Google , Mozilla и Barracuda Networks .

Vendor-sec был списком рассылки ответственного раскрытия информации. Многие, если не все, группы CERT координируют ответственное раскрытие информации.

Политика раскрытия информации

В Google Project Zero установлен 90-дневный крайний срок раскрытия информации, который начинается после уведомления поставщиков об уязвимости, а подробности публикуются в защитном сообществе через 90 дней или раньше, если поставщик выпустит исправление.

У ZDI есть 120-дневный срок раскрытия информации, который начинается после получения ответа от поставщика.

Примеры

Избранные уязвимости системы безопасности устранены путем применения ответственного раскрытия информации:

Смотрите также

использованная литература