23.09.2003 НовостиДеннис ФишерОрганизация по безопасности Интернета (Organization for Internet Safety, OIS) предложила недавно план, предусматривающий порядок обнародования выявленных брешей в программном обеспечении. Хотя следование изложенным в нем рекомендациям и является совершенно добровольным, новая инициатива сразу же подверглась критике как исследователей слабых мест в ПО, так и других специалистов. А ведь такой план, как показали результаты недавнего опроса, крайне необходим для защиты сетей.В состав OIS входит ряд разработчиков приложений и компаний, специализирующихся на защите сетей. Они попытались упорядочить процесс уведомления производителей ПО о выявленных брешах, опубликования подобной информации и исправления дефектных кодов. У многих специалистов по безопасности подготовленный документ встретил понимание.Однако независимые исследователи уязвимостей (а их предлагаемые меры должны коснуться в первую очередь) далеко не в восторге. Участникам только что состоявшейся в Лас-Вегасе конференции Black Hat Briefings, например, очень не понравилось отсутствие какого-либо механизма ответственности на тот случай, если производители не станут придерживаться рекомендуемых положений. Представитель OIS пояснил, что это сделано преднамеренно, так как план сугубо добровольный и никакого надзора за производителями в нем предусматриваться не может в принципе. Окончательной инстанцией, которая будет решать, придерживается ли та или иная компания положений плана, должен стать суд ...
читать далее.