Felelős közzététel

A Wikipédiából, a szabad enciklopédiából

Az informatikai biztonság területén a felelős közzététel (angolul responsible disclosure) egy irányelv vagy filozófia; a teljes közzétételtől (angolul full disclosure) annyiban tér el, hogy a rendszer biztonsági résével kapcsolatban elvárja a gyártó/a program szerzője előzetes értesítését a széles körű közzététel előtt.

Ha a biztonsági réshez még nem létezik működő, nyilvános exploit, a privát értesítés ad némi időt a gyártó számára, hogy kiértékelje a hibát, elkészítse a hibajavítást vagy megkerülő megoldást (angolul workaround), tesztelje azt stb. Gyakran hosszabb időre van szükség ahhoz, hogy a javítást megfelelően teszteljék, például minden nyelvi változatban. A hackerek és az informatikai biztonság szakértői szerint az ő felelősségük, hogy a nagyobb súlyú biztonsági résekről a nyilvánosságot értesítsék. Ha ez elmarad, az a biztonság hamis látszatához vezethet. Ennek elkerülése érdekében célszerű a részt vevő feleknek megegyezniük abban, hogy a gyártó mennyi időt kapjon a sebezhetőség befoltozására. Ez a biztonsági rés súlyától függően néhány héttől több hónapig is terjedhet. Az internet, mint terjesztési közeg könnyebbé tette a szoftverek foltozását.

A felelős közzététel nem felel meg azoknak a biztonsági szakértőknek, akik pénzügyi ellenszolgáltatásra számítanak a biztonsági rések jelentésekor; más részről, a pénzügyi ellenszolgáltatásért történő értesítés zsarolásként is felfogható.

Miközben kialakult a biztonsági rések piaca, a közzétételhez kapcsolódó kommercializáció (piacosodás) körül magas hőfokú viták folynak. Napjainkban a biztonsági rések piacának két legnagyobb szereplője az iDefense, ami 2003-ban kezdett fizetni a sebezhetőségek jelentéséért (vulnerability contributor program, VCP) és a TippingPoint, ami 2005-ben kezdte meg nulladik napi kezdeményezését (zero-day initiative, ZDI). Ezek a szervezetek, miután megvásárolták a biztonsági rést, a továbbiakban a felelős közzététel elvét követik. 2003 márciusa és 2007 decembere között a Microsoftot és az Apple-t érintő biztonsági rések mintegy 7,5%-át a VCD és a ZDI jelentette. [1]

A vendor-sec egy a felelős közzététel elvét követő levelezési lista. Valamennyi, vagy talán az összes CERT csoport a felelős közzététel szerint működik.

Források[szerkesztés | forrásszöveg szerkesztése]

Külső hivatkozások[szerkesztés | forrásszöveg szerkesztése]