Google dao rok proizvođačima softvera: 60 dana za ispravku propusta ili...

Vesti, 23.07.2010, 00:01 AM

Google dao rok proizvođačima softvera: 60 dana za ispravku propusta ili...

U postu objavljenom na zvaničnom kompanijskom blogu u utorak, tim zadužen za bezbednost u kompaniji Google pozvao je proizvođače softvera da prijavljene kritične propuste u svojim programima ispravljaju u razumnom roku od 60 dana, upozorivši ih da će po isteku tog roka objavljivati otkrivene bagove.

Naime, kada istraživači bezbednosti otkriju propust u programu, oni to privatno prijavljuju proizvođaču softvera, poštujući tako nešto što se označava kao “odgovorno otkrivanje” propusta. Tek onda kada kada proizvođač objavi 'patch' za tu ranjivost, istraživač javno objavljuje detalje o njoj.

Istraživači ponekad slede princip “punopravnog otkrivanja” bagova, te tako sve detalje o ranjivosti čine dostupnim svima istovremeno, čime nijedna strana nema povlašćenu poziciju.

Prvim pristupom proizvođač dobija na vremenu, može da ispravi propust pre nego za njega saznaju oni koji mogu da ga iskoriste, što smanjuje rizik za korisnike programa. Drugi pristup prisiljava proizvođača na hitnu akciju, te propust bude brže i ispravljen, čime je rizik da loši momci otkriju propust pre svih značajno smanjen.

Jasno je zašto proizvođačima softvera odgovara politika “odgovornog otkrivanja” propusta, ali se ne tako retko dešava da proizvođač bude obavešen o propustu i da potom odlaže da ispravi ranjivost, što nekad traje i godinama, sve dok neko drugi ne otkrije isti propust i potom ga zloupotrebi. Svaki istraživač bezbednosnih propusta u programima koji pokuša da izađe iz okvira “odogovornog otkrivanja” propusta smatra se odgovornim za izlaganje riziku korisnika a njegovo ponašanje se karakteriše kao neodgovorno.

Zanimljivo je da je jedan od potpisnika ovog blog posta, Google-ov istraživač bezbednosti Travis Ormandy, kojeg se naši čitaoci možda sećaju kada smo pisali o velikom propustu u Windows Help and Support Center i Java zero-day exploit-u. I u jednom i u drugom slučaju, on je obavestio proizvođače o propustu ali oni te propuste nisu dovoljno ozbiljno shvatili.

Zbog svega navedenog, tim za bezbednost kompanije Google smatra da je rok od 60 dana dovoljan da proizvođač softvera koji je obavešten o kritičnom propustu u svom programu reši taj problem. Ubuduće će Google-ovi istraživači bezbednosti posle isteka roka od 60 dana od dana kada je proizvođač obavešten o propustu obelodaniti detalje otkrivene ranjivosti.

Google-ov tim za bezbednost je pozvao i ostale istraživače da im se pridruže i poštuju predloženi rok od 60 dana za objavljivanje ranjivosti. To će, prema mišljenju stručnjaka iz kompanije, pojačati pritisak na proizvođače da se ponašaju odgovornije i obezbediti veću sigurnost korisnicima interneta.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft povukao Huawei uređaje iz svoje online prodavnice

Microsoft  povukao Huawei uređaje iz svoje online prodavnice

Microsoft je još jedna od američkih kompanija za koju se očekuje da će prekinuti svoje veze sa Huaweijem nakon što je prošle nedelje američki ... Dalje

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Istraživač Anurag Sen otkrio je ogromnu bazu podataka koja sadrži privatne kontakt informacije, uključujući brojeve telefona i email adrese oko ... Dalje

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Laptop koji je namerno zaražen sa šest ozloglašenih malvera, uključujući čuvene malvere WannaCry i ILoveIou, prodaje se na aukciji u SAD kao um... Dalje

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Osnivač kompanije Huawei, Ren Žengfej, komentarišući najnoviji potez američke administracije usmeren protiv kineske kompanije, rekao je da SAD "p... Dalje

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Facebook nije jedina velika tehnološka kompanija koja čuva lozinke u obliku običnog teksta. Google je upozorio korisnike G Suite da je zbog "grešk... Dalje