Google dao rok proizvođačima softvera: 60 dana za ispravku propusta ili...

Vesti, 23.07.2010, 00:01 AM

Google dao rok proizvođačima softvera: 60 dana za ispravku propusta ili...

U postu objavljenom na zvaničnom kompanijskom blogu u utorak, tim zadužen za bezbednost u kompaniji Google pozvao je proizvođače softvera da prijavljene kritične propuste u svojim programima ispravljaju u razumnom roku od 60 dana, upozorivši ih da će po isteku tog roka objavljivati otkrivene bagove.

Naime, kada istraživači bezbednosti otkriju propust u programu, oni to privatno prijavljuju proizvođaču softvera, poštujući tako nešto što se označava kao “odgovorno otkrivanje” propusta. Tek onda kada kada proizvođač objavi 'patch' za tu ranjivost, istraživač javno objavljuje detalje o njoj.

Istraživači ponekad slede princip “punopravnog otkrivanja” bagova, te tako sve detalje o ranjivosti čine dostupnim svima istovremeno, čime nijedna strana nema povlašćenu poziciju.

Prvim pristupom proizvođač dobija na vremenu, može da ispravi propust pre nego za njega saznaju oni koji mogu da ga iskoriste, što smanjuje rizik za korisnike programa. Drugi pristup prisiljava proizvođača na hitnu akciju, te propust bude brže i ispravljen, čime je rizik da loši momci otkriju propust pre svih značajno smanjen.

Jasno je zašto proizvođačima softvera odgovara politika “odgovornog otkrivanja” propusta, ali se ne tako retko dešava da proizvođač bude obavešen o propustu i da potom odlaže da ispravi ranjivost, što nekad traje i godinama, sve dok neko drugi ne otkrije isti propust i potom ga zloupotrebi. Svaki istraživač bezbednosnih propusta u programima koji pokuša da izađe iz okvira “odogovornog otkrivanja” propusta smatra se odgovornim za izlaganje riziku korisnika a njegovo ponašanje se karakteriše kao neodgovorno.

Zanimljivo je da je jedan od potpisnika ovog blog posta, Google-ov istraživač bezbednosti Travis Ormandy, kojeg se naši čitaoci možda sećaju kada smo pisali o velikom propustu u Windows Help and Support Center i Java zero-day exploit-u. I u jednom i u drugom slučaju, on je obavestio proizvođače o propustu ali oni te propuste nisu dovoljno ozbiljno shvatili.

Zbog svega navedenog, tim za bezbednost kompanije Google smatra da je rok od 60 dana dovoljan da proizvođač softvera koji je obavešten o kritičnom propustu u svom programu reši taj problem. Ubuduće će Google-ovi istraživači bezbednosti posle isteka roka od 60 dana od dana kada je proizvođač obavešten o propustu obelodaniti detalje otkrivene ranjivosti.

Google-ov tim za bezbednost je pozvao i ostale istraživače da im se pridruže i poštuju predloženi rok od 60 dana za objavljivanje ranjivosti. To će, prema mišljenju stručnjaka iz kompanije, pojačati pritisak na proizvođače da se ponašaju odgovornije i obezbediti veću sigurnost korisnicima interneta.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažne vakcine, testovi i potvrde o vakcinaciji preplavili sajtove mračnog veba

Lažne vakcine, testovi i potvrde o vakcinaciji preplavili sajtove mračnog veba

Lažni rezultati testova na COVID-19, lažne potvrde o vakcinaciji i sumnjive vakcine trenutno su najatraktivnija roba u ponudi sajtova mračnog veba.... Dalje

Iako su tvrdili suprotno, najveći američki naftovod ipak isplatio hakerima 5 miliona dolara

Iako su tvrdili suprotno, najveći američki naftovod ipak isplatio hakerima 5 miliona dolara

Nakon razornog sajber napada na jedan od najvećih naftovoda u Sjedinjenim Državama, koji je privremeno zatvorio mnoge benzinske pumpe i prouzrokova... Dalje

Skoro svi WiFi uređaji podložni su ''Frag'' napadima

Skoro svi WiFi uređaji podložni su ''Frag'' napadima

Istraživač Meti Venhof koji je 2017. godine otkrio “KRACK” bag u WPA2 Wi-Fi protokolu, sada je obelodanio i mnoštvo drugih nedostataka ... Dalje

Nemački poverenik za zaštitu podataka zabranio Facebooku da koristi podatke korisnika WhatsAppa

Nemački poverenik za zaštitu podataka zabranio Facebooku da koristi podatke korisnika WhatsAppa

Nemački poverenik za zaštitu podataka i slobodu informacija u Hamburgu (HmbBfDI) zabranio je juče Facebooku obradu podataka korisnika WhatsAppa u n... Dalje

Hakeri koji su napali najveći američki naftovod se izvinili, obećavaju da će ubuduće pažljivije birati ciljeve

Hakeri koji su napali najveći američki naftovod se izvinili, obećavaju da će ubuduće pažljivije birati ciljeve

Grupa koja stoji iza ransomwarea koji je krajem prošle nedelje isključio najveći gasovod u Sjedinjenim Državama “Colonial Pipeline”, i... Dalje