| 有漏洞说还是不说? 软件安全集团成立 |
 |
|
|
2002-09-28 09:40
转自:
赛迪网
|
| |
11家软件制造商和安全公司27日宣布成立一个集团,以便就安全行业应如何负责任地发布软件的漏洞信息制定规则。
该集团的成员2001年首次讨论了这个问题,他们希望在安全公司与独立咨询人员之间架起一座桥梁。这些独立咨询人员发布软件的漏洞信息以吸引媒体注意,并使软件公司经常因其应用软件存在漏洞而导致形象受损。
该集团在其网站上发表的一份声明中称:“目前,尚没有一个处理安全缺陷的商定程序。缺乏协调一致的程序使修复缺陷的过程复杂化,并最终加大了风险,让所有计算机用户都要面对这一风险。”
该集团强调,其建立的所有方针将是公正的,不会有任何强制性机制。
2002年初,该集团的成员通过了一套正式的准则草案,并提交给了互联网技术机构互联网工程任务组提交,但被该组织以不在其业务范围为由拒绝。
该准则草案意在使安全辩论的双方讲和:软件公司一方希望悄悄修复他们软件的漏洞,不要公开漏洞使他们难堪;而安全研究人员则主张大肆宣扬这些缺陷。
拟议中的规则建议,软件公司应在接到潜在漏洞通知的一周内向安全研究人员做出回应,同时安全研究人员应在向公众宣布该漏洞信息前,给予软件公司至少30天的时间修复该漏洞。
组建该集团花费了长达一年的时间,这说明了要想使缺陷问题双方达成一致意见是非常困难的。
该集团的成员包括@Stake公司、BindView公司、Foundstone公司、Guardent公司、互联网安全系统公司、NAI公司和赛门铁克公司等安全企业,以及Caldera国际公司、微软、甲古文和SGI等软件制造商。
|
| |
|
|
|
