SearchCIO
SearchNetworking
SearchSecurity
01net
Sicurezza
Due mesi per sanare le vulnerabilità
Secondo Google i 60 giorni sono il lasso massimo di tempo per il rilascio di una patch a una falla evidenziata a un produttore. Dopodiché chi l'ha scoperta ne può parlare liberamente.
Michele Nasi - www.ilsoftware.it
23 Luglio 2010
Il "security team" di Google ha riaperto la discussione su un tema divenuto negli ultimi tempi scottante.
Secondo gli esperti del colosso di Mountain View, 60 giorni sarebbero da considerarsi come il termine ultimo per il rilascio di una patch da parte di un qualunque produttore software.
Il "conto alla rovescia" dovrebbe partire dal momento in cui una vulnerabilità viene responsabilmente segnalata in forma privata. "Abbiamo notato che molti produttori invocano il principio della responsible disclosure delle vulnerabilità per prendersi più tempo" scrivono i tecnici di Google.
Il post apparso sul blog ufficiale di Google riporta anche la firma di Tavis Ormandy, membro del team dell'azienda fondata da Larry Page e Sergey Brin, il cui operato era stato, da più parti, ampiamente criticato.
Ormandy, infatti, aveva deciso di rendere pubblici i dettagli tecnici di una pericolosa vulnerabilità scoperta in Windows Xp e Windows Server 2003.
Il ricercatore aveva motivato la sua azione con l'intento di voler spronare Microsoft a sanare prima possibile la problematica di sicurezza.
La lacuna di sicurezza è stata poi sanata con il rilascio di un aggiornamento "ad hoc", durante l'ultimo "patch day".
Da Google si sostiene che il termine ultimo di 60 giorni dovrebbe essere considerato come una sorta di "punto di non ritorno", a partire dal quale chi avesse scoperto una falla (segnalata al vendor in forma privata) è autorizzato a svelarne i dettagli.
D'ora in poi, l'azienda di Mountain View intende seguire tale approccio pur riconoscendo di non essere riuscita, talvolta, in passato, a raggiungere l'obiettivo. Una presa di posizione, quella di Google, destinata certo a non passare inosservata.
Secondo gli esperti del colosso di Mountain View, 60 giorni sarebbero da considerarsi come il termine ultimo per il rilascio di una patch da parte di un qualunque produttore software.
Il "conto alla rovescia" dovrebbe partire dal momento in cui una vulnerabilità viene responsabilmente segnalata in forma privata. "Abbiamo notato che molti produttori invocano il principio della responsible disclosure delle vulnerabilità per prendersi più tempo" scrivono i tecnici di Google.
Il post apparso sul blog ufficiale di Google riporta anche la firma di Tavis Ormandy, membro del team dell'azienda fondata da Larry Page e Sergey Brin, il cui operato era stato, da più parti, ampiamente criticato.
Ormandy, infatti, aveva deciso di rendere pubblici i dettagli tecnici di una pericolosa vulnerabilità scoperta in Windows Xp e Windows Server 2003.
Il ricercatore aveva motivato la sua azione con l'intento di voler spronare Microsoft a sanare prima possibile la problematica di sicurezza.
La lacuna di sicurezza è stata poi sanata con il rilascio di un aggiornamento "ad hoc", durante l'ultimo "patch day".
Da Google si sostiene che il termine ultimo di 60 giorni dovrebbe essere considerato come una sorta di "punto di non ritorno", a partire dal quale chi avesse scoperto una falla (segnalata al vendor in forma privata) è autorizzato a svelarne i dettagli.
D'ora in poi, l'azienda di Mountain View intende seguire tale approccio pur riconoscendo di non essere riuscita, talvolta, in passato, a raggiungere l'obiettivo. Una presa di posizione, quella di Google, destinata certo a non passare inosservata.
Link correlati
- Google Moduli, un semplice strumento per acquisire dati tramite Web
- Google dice addio a Nexus One e lo toglie dal sito
- Google toglie Nexus One dal suo sito
- Google cresce, ma agli analisti non basta
- Google apre la programmazione su Android
- Google al lavoro su Chrome e Chromium
- Google spiega perché fidarsi del cloud
- Google Chrome apre ai PDF
- Contenuti a pagamento su Google News?
- Google: la musica in autunno
- Google è il più grande di tutti. Anche come hacker
- Cloud: il tool anti-scettici di Google
Rss
