ISS подготовила свод правил публикации сведений об обнаруженных изъянах

Компания Internet Security Systems, которую часто критиковали за то, что она публиковала информацию о проблемах защиты в программном обеспечении, не дав разработчикам времени на ликвидацию этих дефектов, выпустила правила, определяющие порядок распространения ею информации о выявленных изъянах защиты.

ISS разместила на своем Web-сайте эти правила, а также специальное заявление Криса Роланда, директора экспертной группы X-Force. Задача этой группы в составе ISS — указывать на опасности, возникающие в Internet, и публиковать информацию о них.

В заявлении говорится о том, что специалистам по проблемам безопасности необходимы стандарты, в которых должны учитываться потребности общества в знаниях об изъянах защиты, а также интересы разработчиков, стремящихся исправлять эти дефекты в своих программных продуктах.

Правила, изложенные на шести страницах, предусматривают четыре этапа: обнаружение, уведомление производителя, уведомление пользователей и публикацию информации для широкого доступа. Правила одинаковы для всех производителей, поэтому отношение и к разработчикам свободно распространяемого программного обеспечения, и к создателям коммерческих систем будет одинаковым.

Эти правила решено было подготовить после того, как ISS подверглась критике за публикацию в июне данных о проблемах, обнаруженных в широко используемом программном Web-сервере Apache, не дав разработчикам времени на то, чтобы исправить найденные дефекты.

В соответствии с новыми правилами X-Force будет оформлять данные об изъянах защиты в виде предварительного бюллетеня, а затем готовить краткое описание проблемы.

После чего свяжется с заинтересованным производителем, которым, согласно правилам, является организация, разработавшая или поставляющая программное обеспечение или оборудование для продажи или бесплатно.

X-Force совместно с производителем займется воссозданием ситуации, в которой проявляется обнаруженный дефект, и возможно, поможет протестировать заплаты и обходные решения.

Производители должны будут предоставить решение через 30 дней после первого уведомления со стороны X-Force, если не будет достигнуто другого соглашения. X-Force может проинформировать пользователей ранее этого срока в случаях, если: производитель выпустил заплату или анонсировал ее; обсуждаемый вопрос появляется в открытом списке рассылки; обнаруженный дефект активно используется в Сети; ISS получает несомненное доказательство того, что дефект проявляется не только в лабораторных условиях; несмотря на сообщения о дефекте производитель никак на него не отреагировал. В противном случае, обычная процедура предусматривает 30-дневный период ожидания, по истечении которого X-Force должна обратиться в некоммерческую исследовательскую организацию Mitre с тем, чтобы зарегистрировать обнаруженный изъян.

Краткое описание будет представлено пользователям службы X-Force Threat Analysis Service на следующий день после первого уведомления производителя.

X-Force намерена пересматривать описания дефектов после получения дополнительной информации.

По истечении 30-дневного срока X-Force предоставит описание дефекта в несколько списков рассылки, ряд форумов и групп, а также опубликует его на своем сайте http://xforce.iss.net.