Forse ad una svolta le modalità con le quali diffondere avvisi relativi a problemi di vulnerabilità nei prodotti. Tutte le vulnerabilità segnalate al Cert saranno, infatti, rivelate al pubblico 45 giorni dopo il rapporto iniziale, …
Forse ad una svolta le modalità con le quali diffondere avvisi
relativi a problemi di vulnerabilità nei prodotti. Tutte le
vulnerabilità segnalate al Cert saranno, infatti, rivelate al
pubblico 45 giorni dopo il rapporto iniziale, indifferentemente dal
fatto che siano o non siano stati resi disponibili da parte dei
produttori interessati patch o soluzioni al problema. Tuttavia, il
Cert si è concesso la possibilità di scostarsi da questa rigorosa
scala cronologica se viene a conoscenza dello sfruttamento attivo di
un particolare problema, o nel caso particolare di serie minacce, nel
qual caso verranno negoziati piani alternativi di divulgazione. Cert
ha precedentemente sostenuto che è sbagliato dire alla gente che
esiste un problema di sicurezza senza informarle di una soluzione
proposta dai fornitori. Tuttavia, questa politica aveva ignorato la
proliferazione di siti, come per esempio Bugtraq, che forniscono
informazioni relative a problemi di sicurezza e le possibili
soluzioni, molto prima che dei chiarimenti autorizzati dal produttore
vengano resi disponibili. Il Cert ha dichiarato che l’obiettivo della
politica adottata è quello di equilibrare la necessità del pubblico
di essere informato delle vulnerabilità di sicurezza, con l’esigenza
dei fornitori di disporre del tempo necessario a rispondere
efficacemente.
