Microsoft zmienia podejście do ujawniania luk w bezpieczeństwie

Przez ostatnie kilka lat Microsoft promował odpowiedzialne zgłaszanie błędów w bezpieczeństwie (responsible disclosure), teraz podejmuje nową strategię.

Korporacja uznała, że dotychczasowe określenie nie było odpowiednie i wzbudzało niepotrzebne emocje. Nowe podejście zostało określone mianem skoordynowanego ujawniania dziur w bezpieczeństwie (Coordinated Vulnerability Disclosure). Jego głównym elementem jest współpraca między odkrywcą luki a dostawcą oprogramowania. Badacze bezpieczeństwa mają zgłaszać luki bezpośrednio twórcy oprogramowania bądź też zaufanej stronie trzeciej, np. organizacji CERT-CC, która przekaże informacje twórcy. W tym momencie odkrywca i dostawca oprogramowania mają uzgodnić termin ujawnienia szczegółowych informacji na temat luki oraz rozpocząć współpracę w celu jej załatania. Współpraca ta ma obejmować dokładne testy zagrożenia, opracowanie obejść oraz przygotowanie poprawki.

W ramach CVD dopuszczone zostało publiczne ujawnienie luki w sytuacji gdy przeprowadzane są już ataki z jej wykorzystaniem.