Deadline voor softwareleveranciers na bugmelding

Tipping Point, tegenwoordig onderdeel van HP, is een beheer- en beveiligingsspecialist die vooral bekend is van zijn Zero Day Initiative. Dat is een programma waaronder beveiligingsonderzoekers tipgeld kunnen krijgen wanneer ze een bug melden bij Tipping Point. Tipping Point neemt vervolgens de verdere afhandeling richting leverancier van de lekke software op zich. Ook Tipping Points jaarlijkse hackwedstrijd op de CanSecWest trekt altijd veel belangstelling.

Redactie AG ConnectMeer van deze auteur

Maatschappij — Shutterstock

Shutterstock

Tot nog toe houdt Tipping Point daarbij vast aan de regel dat details van het lek pas gemeld worden als er een patch is. In kringen van beveiligingsonderzoekers groeit de onrust over deze ‘responsible disclosure’-regel. Men vindt dat de verantwoordelijkheid wel erg eenzijdig bij de ontdekkers van lekken wordt gelegd. Softwareleveranciers maken lang niet altijd haast met het dichten van het lek, en in de tussentijd groeit de kans dat een andere onderzoeker, mogelijk met minder eerbare bedoelingen, dezelfde ontdekking doet.

Cijfers van Tipping Point geven deze critici steun in de rug. Volgens directeur beveiligingsonderzoek Aron Portnoy heeft Tipping Point nu 120 meldingen in de boeken staan van bugs die nog niet gepatcht zijn; ettelijke daarvan zijn al meer dan een jaar geleden gemeld.

Google-medewerkers kwamen onlangs met het voorstel van een limiet van 60 dagen na melding voor het uitbrengen van een patch. Aanleiding daarvoor was een conflict van hun collega Tavis Ormandy met Microsoft.

Tipping Point zag in de discussie kennelijk aanleiding om de verantwoordelijkheden van de softwareleveranciers duidelijker te omschrijven. Wel kiest het voor een beduidend langere termijn dan de Google-medewerkers voorstelden, en biedt het leveranciers een ontsnappingsclausule.

Soevereine Cloud: Controle in een geopolitiek tijdperk

Begrijp hoe Soevereine Cloud jouw organisatie beschermt tegen geopolitieke risico’s. Lees ons artikel en neem controle over je data.

1 min

Blog moderne werkplek Partner

Voorbij de standaard: grip op de moderne Microsoft-werkplek

De moderne werkplek is hybride, dynamisch en Microsoft-gebaseerd. Maar is Intune genoeg voor veilig en flexibel beheer?

3 min

Achtergrond Collegereeks AI voor Business Partner

'80% van het werk dat we vandaag doen, kan in de komende duizend dagen geautomatiseerd worden'

AI krijgt meer impact op business. In de collegereeks van Nyenrode & AG Connect ontdek je kansen en risico’s, o.a. rond Agentic AI.

2 min

Meer whitepapers

Whitepaper Artificial Intelligence Partner

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Marketing Partner

High impact business stories creëren

De route naar de zakelijke beslisser.

Whitepaper Security Partner

De weg ontdekken naar geïntegreerde IT- en fysieke beveiliging afdelingen

De samenvoegingen van IT en fysieke beveiliging begon jaren geleden, maar hoe staat het er nu voor met deze ontwikkeling?

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee