上周六,Mozilla 基金會的安全事務總監Window Snyder 表示,在披露安全缺陷方面,軟件廠商受到了安全研究人員的完全控制。
多年來,軟件產業一直在推動制訂缺陷披露原則。Snyder在ShmooCon黑客會議的一次討論會上說,這些“負責任的披露”計劃產生了一些 效果,但安全研究人員仍然控制著這一過程。Snyder說,一切由安全研究人員說了算,他們控制著披露時間,他們控制著廠商是否有足夠的發布時間。
公布缺陷詳細資料多年來一直是個熱門話題。軟件產業提倡秘密地披露,等待廠商發布補丁軟件後再公開詳細資料,它們稱之為“負責任的披露”。提前 公布缺陷的詳細資料將有助於犯罪分子發動攻擊,有損廠商的名譽。Snyder說,廠商有責任對向它們通報的缺陷做出及時的回應。
但是,並非所有的人都認可“負責任的披露”原則。安全軟件廠商Immunity的Dave Aitel表示,這是軟件廠商的一個圈套。“負責任的披露”有利於微軟和其它大軟件廠商,它們希望控制這一過程。
Aitel說,安全研究人員無需向廠商通報缺陷資料,而是將缺陷信息出售給它。Immunity向安全研究人員購買安全缺陷的詳細資料,並在其產品中使用這些資料,其中包括能夠被用來入侵計算機和網絡的滲透測試。
TippingPoint安全研究經理Rohit Dhamankar說,如果企業運用法律武器威脅安全研究人員,這是一種企業無知的典型例子。
為了獲得針對對手的競爭優勢,Immunity和TippingPoint等公司都向安全研究人員購買缺陷資料。通過購買缺陷資料,它們的產品能夠早於其它產品和在官方補丁軟件發布前探測到缺陷。
Veracode的創始人、技術總監Chris Wysopal表示,如果不公開披露,缺陷就得不到修正。公開披露是使缺陷得到真正修正的唯一途徑。
Snyder說,是廠商有30天的時間發布補丁軟件是一個不錯的主意,他還呼吁安全研究人員遵守“負責任的披露”原則。
from:www.chinaunix.net
