В США опубликовали новую версию документа, который подробно описывает, какие государственные агентства этой страны вовлечены в процесс сбора информации о багах в распространенном ПО и эксплойтах для них, и по каким критериям они выбирают, какие уязвимости сохранить в тайне, а о каких уведомлять вендоров уязвимого софта.
Согласно документу, отбором уязвимостей занимается комиссия, состоящая из представителей сразу десяти правительственных ведомств, в числе которых ЦРУ, Госдепартамент, министерства обороны, юстиции и финансов.
Каждый месяц эта комиссия собирается для обсуждения выявленных багов и решает, что с ними делать. Критериями оценки служат распространенность уязвимого продукта, простота обнаружения и эксплуатации уязвимости, возможные последствия такой эксплуатации, насколько просто или сложно эту уязвимость исправить и какую оперативную ценность этот баг может представлять для разведывательной или правоохранительной деятельности.
В некоторых случаях Vulnerability Equities Process (VEP, «Регламент сбора ценных уязвимостей») предполагает публикацию сведений о том, как уязвимость можно исправить, но без каких-либо технических подробностей о ней самой. В отдельных случаях право на использование тех или иных уязвимостей будет зарезервировано лишь за определенными ведомствами.
Надзирать за всей процедурой поручено Конгрессу США, которому регулярно будут направляться отчеты об использовании уязвимостей и статистика по раскрытию таковых. Часть данных будет публиковаться открыто, часть останется конфиденциальной.
Комментарии
Нет, уязвимости нужно публиковать для хакеров, да? (Журналисты -- такие журналисты.)
Где в статье говорится про публикацию хакеров? Русским по белому написано: "какие уязвимости сохранить в тайне, а о каких уведомлять вендоров уязвимого софта". Опять очки подвели?
Майк такой Майк. В последовательности действий "читаем - думаем - пишем" совсем не обязательно пропускать первые два пункта.
Старость не радость, голова подводит иногда стариков
Прав был Логик: обратным курсивом! Ибо некоторые не поймут. (Подсказка: иронию.)
Ментал, не усердствуйте; Вас я ignore.
Но админ никак не хочет идти на это. Он наверное думает - когда на Хабре такое введут, тогда и тут будет.
Но на Хабре админ такой же - он думает, пока на KV.BY не введут, то и он не введёт.
Админы - они
супер-конденсаторысупер-консерваторы.