Google dao rok proizvođačima softvera: 60 dana za ispravku propusta ili...

Vesti, 23.07.2010, 00:01 AM

Google dao rok proizvođačima softvera: 60 dana za ispravku propusta ili...

U postu objavljenom na zvaničnom kompanijskom blogu u utorak, tim zadužen za bezbednost u kompaniji Google pozvao je proizvođače softvera da prijavljene kritične propuste u svojim programima ispravljaju u razumnom roku od 60 dana, upozorivši ih da će po isteku tog roka objavljivati otkrivene bagove.

Naime, kada istraživači bezbednosti otkriju propust u programu, oni to privatno prijavljuju proizvođaču softvera, poštujući tako nešto što se označava kao “odgovorno otkrivanje” propusta. Tek onda kada kada proizvođač objavi 'patch' za tu ranjivost, istraživač javno objavljuje detalje o njoj.

Istraživači ponekad slede princip “punopravnog otkrivanja” bagova, te tako sve detalje o ranjivosti čine dostupnim svima istovremeno, čime nijedna strana nema povlašćenu poziciju.

Prvim pristupom proizvođač dobija na vremenu, može da ispravi propust pre nego za njega saznaju oni koji mogu da ga iskoriste, što smanjuje rizik za korisnike programa. Drugi pristup prisiljava proizvođača na hitnu akciju, te propust bude brže i ispravljen, čime je rizik da loši momci otkriju propust pre svih značajno smanjen.

Jasno je zašto proizvođačima softvera odgovara politika “odgovornog otkrivanja” propusta, ali se ne tako retko dešava da proizvođač bude obavešen o propustu i da potom odlaže da ispravi ranjivost, što nekad traje i godinama, sve dok neko drugi ne otkrije isti propust i potom ga zloupotrebi. Svaki istraživač bezbednosnih propusta u programima koji pokuša da izađe iz okvira “odogovornog otkrivanja” propusta smatra se odgovornim za izlaganje riziku korisnika a njegovo ponašanje se karakteriše kao neodgovorno.

Zanimljivo je da je jedan od potpisnika ovog blog posta, Google-ov istraživač bezbednosti Travis Ormandy, kojeg se naši čitaoci možda sećaju kada smo pisali o velikom propustu u Windows Help and Support Center i Java zero-day exploit-u. I u jednom i u drugom slučaju, on je obavestio proizvođače o propustu ali oni te propuste nisu dovoljno ozbiljno shvatili.

Zbog svega navedenog, tim za bezbednost kompanije Google smatra da je rok od 60 dana dovoljan da proizvođač softvera koji je obavešten o kritičnom propustu u svom programu reši taj problem. Ubuduće će Google-ovi istraživači bezbednosti posle isteka roka od 60 dana od dana kada je proizvođač obavešten o propustu obelodaniti detalje otkrivene ranjivosti.

Google-ov tim za bezbednost je pozvao i ostale istraživače da im se pridruže i poštuju predloženi rok od 60 dana za objavljivanje ranjivosti. To će, prema mišljenju stručnjaka iz kompanije, pojačati pritisak na proizvođače da se ponašaju odgovornije i obezbediti veću sigurnost korisnicima interneta.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Registrujete profile na porno sajtovima? Evo zašto to nije dobra ideja

Registrujete profile na porno sajtovima? Evo zašto to nije dobra ideja

Email adrese više od milion korisnika pornografskog web sajta, od kojih neke otkrivaju imena korisnika ili čak njihove državne funkcije, otkrivene ... Dalje

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Balkanske zemlje na udaru trojanaca BalkanDoor i BalkanRAT

Istraživači iz kompanije ESET upozorili su da je na Balkanu u toku kampanja u okviru koje se distribuiraju dva hakerska alata sa sličnom svrhom: tr... Dalje

Google, Apple i Mozilla pokušavaju da spreče vladu Kazahstana da špijunira građana

Google, Apple i Mozilla pokušavaju da spreče vladu Kazahstana da špijunira građana

Da bi zaštitili svoje korisnike u Kazahstanu od vladinog nadzora, Google, Apple i Mozilla blokirali su vladin root sertifikat u svojim pregledačima.... Dalje

Google ukinuo svoj do sada nepoznati servis koji je prikupljao podatke o lokaciji korisnika

Google ukinuo svoj do sada nepoznati servis koji je prikupljao podatke o lokaciji korisnika

Google je prikupljao podatke preko do sada nepoznatog Android servisa koji je uključivao i lokaciju korisnika. Kompanije koje prikupljaju lične poda... Dalje

23 grada u Teksasu napadnuta ransomwareom u isto vreme

23 grada u Teksasu napadnuta ransomwareom u isto vreme

Više američkih gradova ovih dana ima probleme zbog ransomwarea pošto su prošlog petka pretrpeli sajber napad. Reč je o 23 manja grada u Teksasu ... Dalje