Felelős közzététel
Az informatikai biztonság területén a felelős közzététel (angolul responsible disclosure) egy irányelv vagy filozófia; a teljes közzétételtől (angolul full disclosure) annyiban tér el, hogy a rendszer biztonsági résével kapcsolatban elvárja a gyártó/a program szerzője előzetes értesítését a széles körű közzététel előtt.
Ha a biztonsági réshez még nem létezik működő, nyilvános exploit, a privát értesítés ad némi időt a gyártó számára, hogy kiértékelje a hibát, elkészítse a hibajavítást vagy megkerülő megoldást (angolul workaround), tesztelje azt stb. Gyakran hosszabb időre van szükség ahhoz, hogy a javítást megfelelően teszteljék, például minden nyelvi változatban. A hackerek és az informatikai biztonság szakértői szerint az ő felelősségük, hogy a nagyobb súlyú biztonsági résekről a nyilvánosságot értesítsék. Ha ez elmarad, az a biztonság hamis látszatához vezethet. Ennek elkerülése érdekében célszerű a részt vevő feleknek megegyezniük abban, hogy a gyártó mennyi időt kapjon a sebezhetőség befoltozására. Ez a biztonsági rés súlyától függően néhány héttől több hónapig is terjedhet. Az internet, mint terjesztési közeg könnyebbé tette a szoftverek foltozását.
A felelős közzététel nem felel meg azoknak a biztonsági szakértőknek, akik pénzügyi ellenszolgáltatásra számítanak a biztonsági rések jelentésekor; más részről, a pénzügyi ellenszolgáltatásért történő értesítés zsarolásként is felfogható.
Miközben kialakult a biztonsági rések piaca, a közzétételhez kapcsolódó kommercializáció (piacosodás) körül magas hőfokú viták folynak. Napjainkban a biztonsági rések piacának két legnagyobb szereplője az iDefense, ami 2003-ban kezdett fizetni a sebezhetőségek jelentéséért (vulnerability contributor program, VCP) és a TippingPoint, ami 2005-ben kezdte meg nulladik napi kezdeményezését (zero-day initiative, ZDI). Ezek a szervezetek, miután megvásárolták a biztonsági rést, a továbbiakban a felelős közzététel elvét követik. 2003 márciusa és 2007 decembere között a Microsoftot és az Apple-t érintő biztonsági rések mintegy 7,5%-át a VCD és a ZDI jelentette. [1]
A vendor-sec egy a felelős közzététel elvét követő levelezési lista. Valamennyi, vagy talán az összes CERT csoport a felelős közzététel szerint működik.
Jegyzetek
szerkesztés- ↑ Paper measuring the prevalence of responsible disclosure and model of the processes of the security ecosystem. [2010. június 16-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. március 10.)
Fordítás
szerkesztés- Ez a szócikk részben vagy egészben a Responsible disclosure című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.