Google предлагает переосмыслить подход к раскрытию уязвимостей

Официальное сообщество Google Security Team опубликовало свою точку зрения относительно поиска и раскрытия уязвимостей, обнаруженных в программном обеспечении. Основным приоритетом при выборе политики раскрытия подобной информации сотрудники команды безопасности Google полагают защищенность конечного пользователя. В настоящее время можно выделить два ключевых подхода к раскрытию такой информации:

1. Ответственное раскрытие (responsible disclosure). При таком подходе исследователь, обнаруживший уязвимость, уведомляет о ней только производителя уязвимого программного обеспечения, скрывая информацию от общественности.

2. Полное раскрытие (full disclosure). При данном подходе исследователь, после обнаружения им уязвимости, публикует в открытом доступе всю информацию о ней.

Авторы статьи предлагают использование комбинированного подхода, сочетающего достоинства обоих изложенных выше методов. При таком подходе, изначально об уязвимости уведомляется только производитель. Однако, в отличие от ответственного раскрытия, устанавливается некоторый срок, по истечении которого информация об уязвимости должна быть открыта широкой общественности. Авторы статьи полагают, что в качестве верхней границы такого срока можно принять 60 дней.

Именно такой подход команда безопасности Google намерена отныне использовать в своей работе.