Зміст:
Визначення - Що означає розкриття вразливості?
Розкриття уразливості - це політика, яка практикується організаціями, а також окремими людьми, щодо розкриття чи публікації інформації щодо вразливості безпеки та експлуатації комп'ютерної системи, мережі чи програмного забезпечення. Це пов’язано з тим, що етичні хакери та експерти з комп’ютерної безпеки вважають, що їхня соціальна відповідальність полягає в тому, щоб повідомити широку громадськість про вразливості, які можуть на них вплинути, інакше мовчання може призвести до помилкового почуття безпеки та викликати самовдоволення людей., що призводить до подальших ризиків.
Розкриття вразливості також відоме як повне розкриття уразливостей або просто повне розкриття.
Техопедія пояснює розкриття вразливості
Розкриття вразливості - це практика оприлюднення подробиць про вразливість безпеки для широкої громадськості для перевірки та змушення постачальників програмного та апаратного забезпечення швидко виправляти ці проблеми. Перед розкриттям даних про вразливість постачальники програмного забезпечення та обладнання покладалися на безпеку секретності, тобто, вони сподівалися, що хакери не виявлять і не використають їх уразливості. Однак хакери знову і знову доводили, що якщо існує вразливість, вони, швидше за все, рано чи пізно виявлять її.
До того, як розкриття вразливості стало загальною практикою, дослідники з безпеки, які повідомляли б про виявлені вразливості, часто ігнорувалися, а деякі навіть загрожували судовими процесами, якщо вразливості стануть відомими. Деякі компанії навіть трактували ці вразливості як "теоретичні", поки знахідний хакер не знайшов і не скористався ними, і тоді компанії доведеться швидко розробити виправлення, а потім рясно вибачитися перед клієнтами. Ось чому група компаній та дослідників безпеки зібралися разом, щоб створити "розкриття відповідальності", яке спиралося на загрозу опублікування вразливості, щоб змусити цю компанію щось робити.
Процес розкриття вразливості починається, коли виявляється вразливість в комп'ютерній або апаратній системі. Людина, яка виявила це, повідомляє компанію з деталями вразливості, щоб вони могли вжити заходів. Через 45 днів, незалежно від того, випустила компанія патч чи ні, вразливість публічно розкривається.