/ Новости / 26.02.2002
Нетоскоп
Новости

Новости
ЯНВАРЬ ФЕВРАЛЬ МАРТ
ПН ВТ СР ЧТ ПТ СБ ВС
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28
2001 год 2002 2003 год

Форум
Клиенты подали в суд на PayPal за закрытие счетов (17)
Корейцы завалили сервер Олимпийского комитета США (6)
На "Газете.ру" решают судьбу российской олимпийской сборной (10)
"Коммерсант" опубликовал Топ-100 IT-менеджеров (11)
Новый сайт "За стеклом" сделал Павел Черкашин (13)
К 2020 году роботы получат гражданские права (10)
Физматшкола 239 компьютеризирована на пиратские деньги (22)
Японцы пытались сорвать сахалинский референдум (219)
Сергей Покровский: "Первые русские хакеры были работниками НИИ" (101)


Разделы

     Сообщать о дырах нужно будет в установленном порядке
Вячеслав Ансимов

26.02.2002 12:08

версия для печати

В Internet Engineering Task Force (IETF) - организацию, ответственную за разработку и утверждение протоколов и стандартов Интернета, - представлены для публичного обсуждения предварительные документы (Internet Draft) с описанием процедур и правил раскрытия информации об обнаруженных уязвимостях в программном обеспечении.

Авторами концепции, озаглавленной "Responsible Disclosure Process", являются эксперты по безопасности Стив Кристи из корпорации MITRE и Крис Уисопэл из компании @stake. Их предложения предусматривают создание координационных центров, которые должны осуществлять взаимодействие обнаружителей дыр и багов с разработчиками и поставщиками ПО. Для сообщений об уязвимостях предлагается стандартная форма. Кстати, в 1999 году именно в MITRE была предложена унифицированная база данных для описания дыр в ПО CVE (Common Vulnerabilities and Exposures).

Правила предусматривают семидневный срок, в течение которого поставщики обязаны отреагировать на сообщение о найденной дыре, а также выполнить ряд других обязательных для обеих сторон процедур.

В настоящее время информация об уязвимостях часто распространяется хаотично. Как правило, те, кто находит дыры, стремятся по тщеславным или иным соображениям сразу же рассказать о них всему миру. Пока разработчики ПО делают заплатку, множество вредителей и хулиганов успевают воспользоваться багом, часто причиняя ущерб многим людям.

Особенно это бьет по нерасторопным производителям вроде Microsoft, которая иногда не реагирует на предупреждения месяцами. Именно поэтому данная корпорация усиленно пытается протолкнуть ограничения на распространение информации о дырах.

Обсудить в форуме (Сообщений : 0)

ССЫЛКИ ПО ТЕМЕ
Responsible Vulnerability Disclosure Process - IETF, 02.02
Disclosure Guidelines For Bug-Spotters Proposed - Newsbytes, 21.02.02

МАТЕРИАЛЫ ПО ТЕМЕ
Microsoft требует держать дыры в секрете - 12.11.01




ПРЕСС-РЕЛИЗЫ
Yellow NewsPillow
Возрождение легендарной NewsPillow

АИСТ
Стартует дилерская программа ASP-сервиса SiteManager для веб-студий

Caravan
Караван отменяет все регистрационные платежи на виртуальном хостинге и на размещение физических серверов (Colocation)

Экспресс-Интернет
Система управления сайтом для Веб-студий, а не для Владельцев сайтов. Экспресс-Интернет.

"Логика Бизнеса"
Мария Каменнова вошла в TOP-100 отечественной ИТ-индустрии

Copyright © 2000-2002 Нетоскоп
Информация о сайте

Hosted by uCoz