| dbo:abstract
|
- Az informatikai biztonság területén a felelős közzététel (angolul responsible disclosure) egy irányelv vagy filozófia; a teljes közzétételtől (angolul full disclosure) annyiban tér el, hogy a rendszer biztonsági résével kapcsolatban elvárja a gyártó/a program szerzője előzetes értesítését a széles körű közzététel előtt. Ha a biztonsági réshez még nem létezik működő, nyilvános exploit, a privát értesítés ad némi időt a gyártó számára, hogy kiértékelje a hibát, elkészítse a hibajavítást vagy megkerülő megoldást (angolul workaround), tesztelje azt stb. Gyakran hosszabb időre van szükség ahhoz, hogy a javítást megfelelően teszteljék, például minden nyelvi változatban. A hackerek és az informatikai biztonság szakértői szerint az ő felelősségük, hogy a nagyobb súlyú biztonsági résekről a nyilvánosságot értesítsék. Ha ez elmarad, az a vezethet. Ennek elkerülése érdekében célszerű a részt vevő feleknek megegyezniük abban, hogy a gyártó mennyi időt kapjon a sebezhetőség befoltozására. Ez a biztonsági rés súlyától függően néhány héttől több hónapig is terjedhet. Az internet, mint terjesztési közeg könnyebbé tette a szoftverek foltozását. A felelős közzététel nem felel meg azoknak a biztonsági szakértőknek, akik pénzügyi ellenszolgáltatásra számítanak a biztonsági rések jelentésekor; más részről, a pénzügyi ellenszolgáltatásért történő értesítés zsarolásként is felfogható. Miközben kialakult a biztonsági rések piaca, a közzétételhez kapcsolódó kommercializáció (piacosodás) körül magas hőfokú viták folynak. Napjainkban a biztonsági rések piacának két legnagyobb szereplője az iDefense, ami 2003-ban kezdett fizetni a sebezhetőségek jelentéséért (vulnerability contributor program, VCP) és a TippingPoint, ami 2005-ben kezdte meg nulladik napi kezdeményezését (zero-day initiative, ZDI). Ezek a szervezetek, miután megvásárolták a biztonsági rést, a továbbiakban a felelős közzététel elvét követik. 2003 márciusa és 2007 decembere között a Microsoftot és az Apple-t érintő biztonsági rések mintegy 7,5%-át a VCD és a ZDI jelentette. A vendor-sec egy a felelős közzététel elvét követő levelezési lista. Valamennyi, vagy talán az összes csoport a felelős közzététel szerint működik. (hu)
- Az informatikai biztonság területén a felelős közzététel (angolul responsible disclosure) egy irányelv vagy filozófia; a teljes közzétételtől (angolul full disclosure) annyiban tér el, hogy a rendszer biztonsági résével kapcsolatban elvárja a gyártó/a program szerzője előzetes értesítését a széles körű közzététel előtt. Ha a biztonsági réshez még nem létezik működő, nyilvános exploit, a privát értesítés ad némi időt a gyártó számára, hogy kiértékelje a hibát, elkészítse a hibajavítást vagy megkerülő megoldást (angolul workaround), tesztelje azt stb. Gyakran hosszabb időre van szükség ahhoz, hogy a javítást megfelelően teszteljék, például minden nyelvi változatban. A hackerek és az informatikai biztonság szakértői szerint az ő felelősségük, hogy a nagyobb súlyú biztonsági résekről a nyilvánosságot értesítsék. Ha ez elmarad, az a vezethet. Ennek elkerülése érdekében célszerű a részt vevő feleknek megegyezniük abban, hogy a gyártó mennyi időt kapjon a sebezhetőség befoltozására. Ez a biztonsági rés súlyától függően néhány héttől több hónapig is terjedhet. Az internet, mint terjesztési közeg könnyebbé tette a szoftverek foltozását. A felelős közzététel nem felel meg azoknak a biztonsági szakértőknek, akik pénzügyi ellenszolgáltatásra számítanak a biztonsági rések jelentésekor; más részről, a pénzügyi ellenszolgáltatásért történő értesítés zsarolásként is felfogható. Miközben kialakult a biztonsági rések piaca, a közzétételhez kapcsolódó kommercializáció (piacosodás) körül magas hőfokú viták folynak. Napjainkban a biztonsági rések piacának két legnagyobb szereplője az iDefense, ami 2003-ban kezdett fizetni a sebezhetőségek jelentéséért (vulnerability contributor program, VCP) és a TippingPoint, ami 2005-ben kezdte meg nulladik napi kezdeményezését (zero-day initiative, ZDI). Ezek a szervezetek, miután megvásárolták a biztonsági rést, a továbbiakban a felelős közzététel elvét követik. 2003 márciusa és 2007 decembere között a Microsoftot és az Apple-t érintő biztonsági rések mintegy 7,5%-át a VCD és a ZDI jelentette. A vendor-sec egy a felelős közzététel elvét követő levelezési lista. Valamennyi, vagy talán az összes csoport a felelős közzététel szerint működik. (hu)
|
