Войти
В компьютерной безопасности, отвечает раскрытие (также известное как раскрытие скоординированной уязвимости) является раскрытие уязвимости модель, в которой уязвимость или вопрос раскрыта только после определенного периода времени, что позволяет уязвимость или выпуску, чтобы быть исправлено или рекомендованными. Этот период отличает модель от полного раскрытия информации.
Разработчикам аппаратного и программного обеспечения часто требуются время и ресурсы для исправления своих ошибок. Часто эти уязвимости находят этические хакеры. Хакеры и специалисты по компьютерной безопасности придерживаются мнения, что их социальная ответственность заключается в том, чтобы информировать общественность об уязвимостях с большим воздействием. Скрытие этих проблем может вызвать чувство ложной безопасности. Чтобы избежать этого, вовлеченные стороны объединяют усилия и согласовывают период времени для устранения уязвимости и предотвращения любого будущего ущерба. В зависимости от потенциального воздействия уязвимости, ожидаемого времени, необходимого для разработки и применения аварийного исправления или обходного пути, а также других факторов, этот период может варьироваться от нескольких дней до нескольких месяцев. Программное обеспечение легче исправлять, используя Интернет в качестве канала распространения.
Ответственное раскрытие информации не удовлетворяет исследователей в области безопасности, которые рассчитывают на финансовую компенсацию, в то время как сообщение об уязвимостях поставщику с ожиданием компенсации может рассматриваться как вымогательство. Несмотря на то, что рынок уязвимостей сформировался, коммерциализация уязвимостей остается горячо обсуждаемой темой, связанной с концепцией раскрытия уязвимостей. Сегодня двумя основными игроками на рынке коммерческих уязвимостей являются iDefense, которая запустила свою программу поддержки уязвимостей (VCP) в 2003 году, и TippingPoint с инициативой нулевого дня (ZDI), начатой в 2005 году. Эти организации следуют процессу ответственного раскрытия информации с материал куплен. В период с марта 2003 г. по декабрь 2007 г. в среднем 7,5% уязвимостей, затрагивающих Microsoft и Apple, были обработаны VCP или ZDI. Независимые фирмы, которые оказывают финансовую поддержку ответственному раскрытию информации путем выплаты вознаграждений за ошибки, включают Facebook, Google, Mozilla и Barracuda Networks.
Vendor-sec был списком рассылки ответственного раскрытия информации. Многие, если не все, группы CERT координируют ответственное раскрытие информации.
В Google Project Zero установлен 90-дневный крайний срок раскрытия информации, который начинается после уведомления поставщиков об уязвимости, а подробности публикуются в защитном сообществе через 90 дней или раньше, если поставщик выпустит исправление.
У ZDI есть 120-дневный срок раскрытия информации, который начинается после получения ответа от поставщика.
Избранные уязвимости системы безопасности устранены путем применения ответственного раскрытия информации:
