Microsoft: jak walczyć z lukami
Reagując na nasilającą się krytykę pod adresem stosowanej przez Microsoft polityki wobec nowo odkrytych luk bezpieczeństwa, koncern ogłasza zmianę strategii: Responsible Disclosure umarło, niech żyje Coordinated Vulnerability Disclosure.
Na pierwszym planie, tak jak wcześniej, znajduje się współpraca pomiędzy specjalistami ds. bezpieczeństwa a producentami, której celem jest uchronienie klientów przed możliwymi szkodami. Publikacja informacji o usterce bezpieczeństwa ma następować w momencie, kiedy producent stworzył i wydał dla niej patcha (poprawkę). Microsoft nie wspomina nic o punkcie krytycznym - o takim zdarzeniu mówimy, gdy publikacja poprawki przeciąga się przez wiele miesięcy albo nawet dłużej niż jeden rok.
Nie dalej jak wczoraj, zespół Google Security Team zaproponował 60-dniowy termin, w trakcie którego producent miałby przygotowywać patche dla krytycznych luk. Jeśli by tego nie zrobił, specjalista od bezpieczeństwa ma prawo przedstawić odkrycie opinii publicznej. U Microsoftu o niczym takim nie ma mowy. Jedyne ustępstwo software'owego giganta na rzecz niecierpliwych brzmi: jeśli udowodniono, że jakaś luka jest czynnie wykorzystywana, zanim producent przygotuje poprawkę, uzasadnione jest ujawnienie luki. Jednak koncern chce współpracować także ze zwolennikami konkurencyjnej koncepcji Full Disclosure - stwierdza Katie Moussouri poruszając tę kwestię we wpisie w blogu.
Za tym, że nie trzeba zachowywać milczenia w sprawie problemów z zabezpieczeniami, które są już od jakiegoś czasu wykorzystywane do ataków, przemawia nawet zdrowy rozsądek. Główną nowością jest więc w tym przypadku jedynie zmiana terminologii. Tym niemniej sygnalizuje ona, że wszystkim, którzy są innego zdania, nie będzie już przypinana łatka nieodpowiedzialnych, tylko z tego powodu, że odrzucają zasady gry określane przez microsoftową interpretację odpowiedzialnego ujawniania. Nie jest to wiele - choć zawsze jakiś znak, że w bardzo emocjonalnej dyskusji, która chwilowo osiągnęła impas, znów pojawia się ożywienie.
