Единая стратегия по объявлению уязвимостей в программах
Ведущие производители ПО и фирмы по безопасности создали организацию, целью которой будет установление единой стратегии по объявлению уязвимостей в программах.
Пользователи должны иметь право на информацию о слабостях в их ПО, но в то же время публикации о "дырах" будет на руку хакерам. Новая группа, Организация за безопасность в интернете (Organisation for Internet Safety - OIS) разработает систему стандартов, в соответствие с которыми будут создаваться отчеты о слабостях в безопасности ПО.
В большинстве случаев, компании по безопасности и независимые исследователи, которые находят баг, информируют производителя об этом и дают ему некоторое время для разработки "заплатки" пред тем, как объявить об уязвимости публично. Однако так происходит не всегда, и пользователям дают информацию о багах до того, как производитель имеет шанс на их исправление.
В список компаний, поддерживающих инициативу, входят Microsoft, Network Associates, Oracle, Silicon Graphics, Symantec, @stake, Caldera International, Bindview и Internet Security Systems.
Кроме того, для того, чтобы OIS лучше понимала нужды и требования IT-подразделений компаний по механизму объявления об уязвимостях, создан совет из специалистов по сетевой безопасности.
Набросок возможных стандартов будет выпущен в начале 2003 года, и сами пользователи смогут выразить свое мнение по этому поводу. Но время публикации финальной версии стандартов пока неизвестно.
Обсудить
Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты
Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна.
