补丁或者我们上市,说错误赏金计划

TippingPoint ZDI设置一个6个月期限的供应商,鼓励快速修补

  • 在Facebook上分享
  • 在Twitter上分享
  • 分享在LinkedIn
  • 在Reddit分享
  • 通过电子邮件分享
  • 印刷资源

高级记者,《计算机世界》 |

世界上最大的错误赏金计划今天打了最后期限6个月供应商,说它将发布一些漏洞信息,即使一个补丁还没有准备好。

“我们要执行六个月期限一般政策,”亚伦Portnoy说,在惠普TippingPoint安全研究团队负责人。

这是一个重大变化的TippingPoint Zero Day Initiative (ZDI),从独立的安全研究人员购买漏洞,私下里将它们报告给供应商,然后使用这些信息制定防御为自身的安全设备。以前,ZDI的政策是无限期保留一个漏洞,发布其信息只有在一个补丁已经发布。

从周三开始,ZDI将给供应商6个月拿出一个补丁。目前错误的队列从现在开始的六个月的期限:2011年2月4日。

如果修复不准备的最后期限,ZDI将压力供应商通过发行一个顾问,包括Portnoy所谓的“有限的细节”的弱点,以及任何工作区ZDI能想出帮助保护用户,直到一个补丁出现。

但是新的底线是可移动的。”漏洞,可能更有效,比如在核心操作系统,我们将提供一个扩展在个案基础上,“Portnoy在接受采访时表示。Windows内核中的一个漏洞是一个很好的候选扩展的例子。

“但是如果我们提供一个扩展,我们会完全透明,并发布完整的我们和供应商之间的通信一旦修补,“Portnoy说。

来回安全研究人员和供应商之间,比如核心安全偶尔发表的时候越来越沮丧微软的修补速度,有时有趣,甚至更如此,比实际的错误,给每个人一个幕后看大型软件开发人员如何处理漏洞报告。

Portnoy说,改变了长期来,并不是直接连接到错误的争论披露,6月初在升温谷歌员工公开关键窗口脆弱性仅仅五天之后报告给微软。

“我们已经对这个问题思考了很长一段时间,“Portnoy说,认为延迟的供应商把它ZDI尴尬的处境。“我们必须追踪这些虫子两年,三年,放慢了我们。”

目前,31日ZDI控股信息关键错误报告给供应商一年前或更久。“(供应商)有责任解决这个问题,“Portnoy说。“我们不应该隐瞒信息,直到他们负责。”

Portnoy明确表示,新规定的部分原因是压力不妥协的补丁。“通过释放一些信息,它把焦点集中在供应商、“Portnoy说。

他还认为,保密的漏洞可能会做用户的伤害。“发现的有很多重叠,几个[研究]找到相同的漏洞,“Portnoy说。免疫和Vulpen,两个敌对的安全公司,只报告bug发现自己的客户,而不是供应商。”些什么免疫力很有可能在我们现在坐在当中,“Portnoy补充道。

“这是我们能想到的最负责任的方式报告漏洞,“Portnoy继续说。“这是不负责任的永远坐在脆弱性。我们可以做我们一直在做的,或者我们可以释放有限的细节漏洞以及如何减轻威胁”(六个月后)。

微软,一个频繁接受者ZDI的bug报告,是“怀疑”的变化当TippingPoint说微软的代表在上周的黑帽安全会议,Portnoy说。

今天,微软说它不同意新的截止日期。“只有在主动攻击的事件是公开披露,专注于应对和解决方法,可能最好的行动,”戴夫Forstrom说,微软的包罗万象的可信计算组主任在一封电子邮件中。”,甚至那么它应该尽可能协调。”

其他人欢迎ZDI的变化,但希望他们设定一个更严格的最后期限。

“这是很长一段时间来,“高清摩尔称,首席安全官Rapid7和著名的创造者Metasploit渗透测试套件。“ZDI在一个困难的地方。他们必须脚趾之间的界线披露和攻读硕士学位等项目的一部分。这可能是最积极的。但我认为六个月有点慷慨。”

TippingPoint参与者在宾州,微软主动保护程序,它提供了对微软的bug审查安全技术信息软件开发人员之前发布的补丁。

谷歌可能会同意摩尔。上个月,它重燃bug报告和讨论建议特色,除此之外,一个电话,研究人员设定一个60天的期限。根据谷歌的计划,研究人员可以自由地将他们的发现上市如果一个补丁不是由两个月期限。

天后,微软回应说,它想要改变“负责任的披露”一词来“协调漏洞的披露”,以更好地反映其政策和删除加载的词“负责任”的讨论。

但微软不喜欢脚的想法有火。

“许多漏洞协调员建立了时间信息披露并一如既往,我们将继续与他们合作,最大限度地减少客户风险,“Forstrom说。“微软倡导协调漏洞的披露,供应商和发现者密切合作对解决。”

谷歌今天拒绝评论ZDI的改变,而不是指向一条线在其7月提议关于bug报告:“创建压力对更多reasonably-timed修复将导致小窗口的机会而言,滥用漏洞。”

VeriSign iDefense,运营着一个小规模的错误比TippingPoint赏金计划,没有回复记者的置评请求。公司已经暗示可能改变,然而。

“我们应该仔细观察和应对最近的脆弱性信息披露趋势的变化,“iDefense四个星期前说推特

Portnoy说ZDI的新期限将帮助,不会伤害用户。“我们不会公布足够的信息开发利用的攻击,”他说。“但是我们可以做,机会之窗越短,就越好。”

格雷格Keizer包括微软,安全问题,苹果,网络浏览器和计算机世界通用技术新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@ix.netcom.com

阅读更多关于安全在计算机世界的安全话题中心。

这个故事,”补丁或者我们上市,说错误赏金计划”最初发表的《计算机世界》

下一个读这篇文章:

相关:

版权©2010 IDG通信公司。Raybet2

企业网络2022的10个最强大的公司