Google dao rok proizvođačima softvera: 60 dana za ispravku propusta ili...

Vesti, 23.07.2010, 01:01 AM

U postu objavljenom na zvaničnom kompanijskom blogu u utorak, tim zadužen za bezbednost u kompaniji Google pozvao je proizvođače softvera da prijavljene kritične propuste u svojim programima ispravljaju u razumnom roku od 60 dana, upozorivši ih da će po isteku tog roka objavljivati otkrivene bagove.

Naime, kada istraživači bezbednosti otkriju propust u programu, oni to privatno prijavljuju proizvođaču softvera, poštujući tako nešto što se označava kao “odgovorno otkrivanje” propusta. Tek onda kada kada proizvođač objavi 'patch' za tu ranjivost, istraživač javno objavljuje detalje o njoj.

Istraživači ponekad slede princip “punopravnog otkrivanja” bagova, te tako sve detalje o ranjivosti čine dostupnim svima istovremeno, čime nijedna strana nema povlašćenu poziciju.

Prvim pristupom proizvođač dobija na vremenu, može da ispravi propust pre nego za njega saznaju oni koji mogu da ga iskoriste, što smanjuje rizik za korisnike programa. Drugi pristup prisiljava proizvođača na hitnu akciju, te propust bude brže i ispravljen, čime je rizik da loši momci otkriju propust pre svih značajno smanjen.

Jasno je zašto proizvođačima softvera odgovara politika “odgovornog otkrivanja” propusta, ali se ne tako retko dešava da proizvođač bude obavešen o propustu i da potom odlaže da ispravi ranjivost, što nekad traje i godinama, sve dok neko drugi ne otkrije isti propust i potom ga zloupotrebi. Svaki istraživač bezbednosnih propusta u programima koji pokuša da izađe iz okvira “odogovornog otkrivanja” propusta smatra se odgovornim za izlaganje riziku korisnika a njegovo ponašanje se karakteriše kao neodgovorno.

Zanimljivo je da je jedan od potpisnika ovog blog posta, Google-ov istraživač bezbednosti Travis Ormandy, kojeg se naši čitaoci možda sećaju kada smo pisali o velikom propustu u Windows Help and Support Center i Java zero-day exploit-u. I u jednom i u drugom slučaju, on je obavestio proizvođače o propustu ali oni te propuste nisu dovoljno ozbiljno shvatili.

Zbog svega navedenog, tim za bezbednost kompanije Google smatra da je rok od 60 dana dovoljan da proizvođač softvera koji je obavešten o kritičnom propustu u svom programu reši taj problem. Ubuduće će Google-ovi istraživači bezbednosti posle isteka roka od 60 dana od dana kada je proizvođač obavešten o propustu obelodaniti detalje otkrivene ranjivosti.

Google-ov tim za bezbednost je pozvao i ostale istraživače da im se pridruže i poštuju predloženi rok od 60 dana za objavljivanje ranjivosti. To će, prema mišljenju stručnjaka iz kompanije, pojačati pritisak na proizvođače da se ponašaju odgovornije i obezbediti veću sigurnost korisnicima interneta.