| dbo:abstract
|
- Responsible disclosure (zodpovědně odhalení) je termín v počítačové bezpečnosti popisující způsob zatajení detailů při zveřejnění informací o nalezené zranitelnosti v software. Podobá se to full disclosure (plné zveřejnění) s tím, že všechny zúčastněné strany souhlasí, že plné zveřejnění bude po nějaký čas pozdrženo, aby mohla být provedena nejprve aktualizace software. Vývojáři hardwaru a softwaru často požadují dostatečný čas na to, aby mohli opravit nalezené chyby. Hackeři a vědci zabývající se počítačovou bezpečností mají názor, že je jejich uvědomit veřejnost o chybách v zabezpečení a jejich následcích. Skrývání těchto problémů může mít za následek falešný pocit bezpečí. Abychom se tomuto vyhnuli, spojují zainteresované strany své síly a souhlasí s tím, aby plné zveřejnění bylo odloženo a byl tak získán čas pro opravu zranitelnosti a předešlo se tak nebezpečným následkům (viz Zero day útok). V závislosti na potenciálním dopadu se onen čas pohybuje mezi několika týdny až měsíci. Jako distribuční kanál se pro aktualizace využívá Internet. Responsible disclosure však nedokáže uspokojit výzkumníky zabývající se bezpečností, kteří očekávají finanční kompenzaci, přestože by braní peněz za nahlášení zranitelnosti mohlo být vnímáno jako vydírání. Přestože byl trh pro zranitelnost vytvořen, je komercializace stále velmi diskutované téma, vázané na koncepci zveřejnění zranitelnosti. Dnes jsou dva hlavní hráči na trhu: iDefense, kteří začali svůj Vulnerability contributor program (VCP) v roce 2003 a TippingPoint, který přišel se svým Zero-day initiative (ZDI) v roce 2005. Tyto organizace se u nakoupených materiálů řídí podle responsible disclosure. Mezi březnem 2003 a prosincem 2007 bylo v průměru 7,5 % zranitelností, které postihly Microsoft a Apple zpracováváno buď pomocí VCP nebo ZDI. Mezi nezávislé firmy, které finančně podporují responsible disclosure patří Facebook, Google, Mozilla a . Vybrané zranitelnosti vyřešené použitím responsible disclosure:
* objevil Cache poisoning, 5 měsíců
* prolomila zabezpečení Classic cards, 6 měsíců
* , MIT studenti našli zranitelnost v Massachusettském metru, 5 měsíců
* MD5 kolizní útok, který ukazuje, jak vytvořit falešné CA certifikáty, 1 týden (cs)
- Responsible Disclosure ist ein Verfahren zur Offenlegung von Sicherheitslücken, bei dem die Schwachstelle zuerst den Entwicklern gemeldet und erst nach einer angemessenen Frist zur Behebung veröffentlicht wird. Zusätzlich gibt es die Full Disclosure, bei der direkt die Öffentlichkeit informiert wird, sowie die , bei der die Details nicht öffentlich gemacht werden. (de)
- In computer security, coordinated vulnerability disclosure, or "CVD" (formerly known as responsible disclosure) is a vulnerability disclosure model in which a vulnerability or an issue is disclosed to the public only after the responsible parties have been allowed sufficient time to patch or remedy the vulnerability or issue. This coordination distinguishes the CVD model from the "full disclosure" model. Developers of hardware and software often require time and resources to repair their mistakes. Often, it is ethical hackers who find these vulnerabilities. Hackers and computer security scientists have the opinion that it is their social responsibility to make the public aware of vulnerabilities. Hiding problems could cause a feeling of false security. To avoid this, the involved parties coordinate and negotiate a reasonable period of time for repairing the vulnerability. Depending on the potential impact of the vulnerability, the expected time needed for an emergency fix or workaround to be developed and applied and other factors, this period may vary between a few days and several months. Coordinated vulnerability disclosure may fail to satisfy security researchers who expect to be financially compensated. At the same time, reporting vulnerabilities with the expectation of compensation is viewed by some as extortion. While a market for vulnerabilities has developed, vulnerability commercialization (or "bug bounties") remains a hotly debated topic. Today, the two primary players in the commercial vulnerability market are iDefense, which started their vulnerability contributor program (VCP) in 2003, and TippingPoint, with their zero-day initiative (ZDI) started in 2005. These organizations follow the coordinated vulnerability disclosure process with the material bought. Between March 2003 and December 2007 an average 7.5% of the vulnerabilities affecting Microsoft and Apple were processed by either VCP or ZDI. Independent firms financially supporting coordinated vulnerability disclosure by paying bug bounties include Facebook, Google, and Barracuda Networks. (en)
- Divulgation responsable est un terme de sécurité informatique décrivant un modèle de divulgation de vulnérabilité informatique. La divulgation responsable est semblable à une divulgation complète, avec l'ajout que toutes les parties prenantes acceptent de laisser un délai avant la divulgation pour que la vulnérabilité soit corrigée avant sa divulgation. Les développeurs de matériel informatique et de logiciels ont souvent besoin de temps et de ressources pour réparer des erreurs découvertes dans leurs produits. En revanche, les hackers grey hat et les spécialistes de la sécurité informatique considèrent qu'il est de leur responsabilité sociale de sensibiliser le public aux vulnérabilités ayant un fort impact, car cacher ces problèmes engendre un sentiment de fausse sécurité. Pour satisfaire les deux parties prenantes, les développeurs et les découvreurs de vulnérabilité échangent des informations et s'entendent sur une période de temps pour réparer la vulnérabilité et prévenir tout dommage futur. Selon l'impact potentiel de la vulnérabilité, le temps prévu pour une solution d'urgence ou une solution de contournement peut varier entre quelques jours et plusieurs mois. (fr)
- La revelación responsable, en inglés responsible disclosure, es una política de revelación parcial de vulnerabilidades. (es)
- 负责任的披露(英語:Responsible disclosure)是计算机安全或其他领域中的一种漏洞披露模型,它限制了漏洞披露的行为,以提供一段时间来修补或修缮即将披露的漏洞或问题。这一特点使之与模型不同。 硬件和软件的开发人员通常需要一些时间和资源才能修复新发现的错误。而黑客和计算机安全科学家认为,让公众了解高危害的漏洞是其社會責任。隐瞒这些问题可能导致。为了避免这种情况,相关各方经过协调,就修复漏洞和防止未来发生任何损害达成了一致意见。根据漏洞的潜在影响、开发和应用紧急补丁或变通方案所需要的预计时间,以及其他因素,有限披露时限可能在几天到几个月不等。 负责任的披露未能满足那些希望籍此获得经济补偿的安全研究员,向预计提供赔偿的供应商报告漏洞可能被视为敲诈勒索。虽然安全漏洞市场已经形成,但安全漏洞的商业化仍然是与安全漏洞披露相关的热门话题。在如今,商业漏洞市场有两个主要的参与者,iDefense在2003年启动了漏洞贡献者计划(VCP),而在2005年启动了零日计划(ZDI)。上述组织遵循所购买材料的负责任披露流程。2003年3月到2007年12月期间,影响微软和苹果公司的漏洞平均有7.5%由VCP或ZDI处理。 通过支付来支持负责任的披露的独立公司包括Facebook、Google、Mozilla和。 是一个“负责任的披露”邮件列表。许多计算机应急响应小组(CERT)在协调负责任的披露。 (zh)
|
| rdfs:comment
|
- Responsible Disclosure ist ein Verfahren zur Offenlegung von Sicherheitslücken, bei dem die Schwachstelle zuerst den Entwicklern gemeldet und erst nach einer angemessenen Frist zur Behebung veröffentlicht wird. Zusätzlich gibt es die Full Disclosure, bei der direkt die Öffentlichkeit informiert wird, sowie die , bei der die Details nicht öffentlich gemacht werden. (de)
- La revelación responsable, en inglés responsible disclosure, es una política de revelación parcial de vulnerabilidades. (es)
- Responsible disclosure (zodpovědně odhalení) je termín v počítačové bezpečnosti popisující způsob zatajení detailů při zveřejnění informací o nalezené zranitelnosti v software. Podobá se to full disclosure (plné zveřejnění) s tím, že všechny zúčastněné strany souhlasí, že plné zveřejnění bude po nějaký čas pozdrženo, aby mohla být provedena nejprve aktualizace software. Vývojáři hardwaru a softwaru často požadují dostatečný čas na to, aby mohli opravit nalezené chyby. Hackeři a vědci zabývající se počítačovou bezpečností mají názor, že je jejich uvědomit veřejnost o chybách v zabezpečení a jejich následcích. Skrývání těchto problémů může mít za následek falešný pocit bezpečí. Abychom se tomuto vyhnuli, spojují zainteresované strany své síly a souhlasí s tím, aby plné zveřejnění bylo odlož (cs)
- In computer security, coordinated vulnerability disclosure, or "CVD" (formerly known as responsible disclosure) is a vulnerability disclosure model in which a vulnerability or an issue is disclosed to the public only after the responsible parties have been allowed sufficient time to patch or remedy the vulnerability or issue. This coordination distinguishes the CVD model from the "full disclosure" model. (en)
- Divulgation responsable est un terme de sécurité informatique décrivant un modèle de divulgation de vulnérabilité informatique. La divulgation responsable est semblable à une divulgation complète, avec l'ajout que toutes les parties prenantes acceptent de laisser un délai avant la divulgation pour que la vulnérabilité soit corrigée avant sa divulgation. (fr)
- 负责任的披露(英語:Responsible disclosure)是计算机安全或其他领域中的一种漏洞披露模型,它限制了漏洞披露的行为,以提供一段时间来修补或修缮即将披露的漏洞或问题。这一特点使之与模型不同。 硬件和软件的开发人员通常需要一些时间和资源才能修复新发现的错误。而黑客和计算机安全科学家认为,让公众了解高危害的漏洞是其社會責任。隐瞒这些问题可能导致。为了避免这种情况,相关各方经过协调,就修复漏洞和防止未来发生任何损害达成了一致意见。根据漏洞的潜在影响、开发和应用紧急补丁或变通方案所需要的预计时间,以及其他因素,有限披露时限可能在几天到几个月不等。 负责任的披露未能满足那些希望籍此获得经济补偿的安全研究员,向预计提供赔偿的供应商报告漏洞可能被视为敲诈勒索。虽然安全漏洞市场已经形成,但安全漏洞的商业化仍然是与安全漏洞披露相关的热门话题。在如今,商业漏洞市场有两个主要的参与者,iDefense在2003年启动了漏洞贡献者计划(VCP),而在2005年启动了零日计划(ZDI)。上述组织遵循所购买材料的负责任披露流程。2003年3月到2007年12月期间,影响微软和苹果公司的漏洞平均有7.5%由VCP或ZDI处理。 通过支付来支持负责任的披露的独立公司包括Facebook、Google、Mozilla和。 (zh)
|
