歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> Linux文化

軟件產業提倡秘密地披露


  上周六,Mozilla 基金會的安全事務總監Window Snyder 表示,在披露安全缺陷方面,軟件廠商受到了安全研究人員的完全控制。

  多年來,軟件產業一直在推動制訂缺陷披露原則。Snyder在ShmooCon黑客會議的一次討論會上說,這些“負責任的披露”計劃產生了一些效果,但安全研究人員仍然控制著這一過程。Snyder說,一切由安全研究人員說了算,他們控制著披露時間,他們控制著廠商是否有足夠的發布時間。

  公布缺陷詳細資料多年來一直是個熱門話題。軟件產業提倡秘密地披露,等待廠商發布補丁軟件後再公開詳細資料,它們稱之為“負責任的披露”。提前公布缺陷的詳細資料將有助於犯罪分子發動攻擊,有損廠商的名譽。Snyder說,廠商有責任對向它們通報的缺陷做出及時的回應。

  但是,並非所有的人都認可“負責任的披露”原則。安全軟件廠商Immunity的Dave Aitel表示,這是軟件廠商的一個圈套。“負責任的披露”有利於微軟和其它大軟件廠商,它們希望控制這一過程。

  Aitel說,安全研究人員無需向廠商通報缺陷資料,而是將缺陷信息出售給它。Immunity向安全研究人員購買安全缺陷的詳細資料,並在其產品中使用這些資料,其中包括能夠被用來入侵計算機和網絡的滲透測試。

  TippingPoint安全研究經理Rohit Dhamankar說,如果企業運用法律武器威脅安全研究人員,這是一種企業無知的典型例子。

  為了獲得針對對手的競爭優勢,Immunity和TippingPoint等公司都向安全研究人員購買缺陷資料。通過購買缺陷資料,它們的產品能夠早於其它產品和在官方補丁軟件發布前探測到缺陷。

  Veracode的創始人、技術總監Chris Wysopal表示,如果不公開披露,缺陷就得不到修正。公開披露是使缺陷得到真正修正的唯一途徑。

  Snyder說,是廠商有30天的時間發布補丁軟件是一個不錯的主意,他還呼吁安全研究人員遵守“負責任的披露”原則。


Copyright © Linux教程網 All Rights Reserved