دوشنبه 4 مرداد 1389

مشورت (شركت مهندسی شبكه و راهبری تحقیقات همكاران سیستم) – تیم امنیتی گوگل، از تامین­کنندگان امنیت نرم­افزارها خواست با تجدیدنظر در مفهوم افشای متعهدانه، راهکارهای بهتر و دقیق­تری برای پاسخگویی سریع به آسیب­پذیری­ها بیابند.

افشای متعهدانه (Responsible Disclosure) یک توافق­نامه مهم و غیررسمی در صنعت نرم­افزار به­شمار می­رود که طی آن یابنده یک نقص امنیتی، پیش از آنکه جزئیات باگ را برای عموم فاش کند، فرصت کافی در اختیار شرکت تولیدکننده نرم­افزار قرار می­دهد تا آنها بتوانند بسته ترمیمی یا اصطلاحاً patch مربوط به آن را تولید نمایند.

شرکت­های بزرگ تولیدکننده نرم­افزار همچون اپل، مایکروسافت و اوراکل، این شیوه را تایید می­کنند ولی محققان امنیتی گوگل معتقدند این روش دیگر کارآیی ندارد.

به گزارش مشورت به نقل از تک وب، چند تن از پژوهشگران امنیتی گوگل از جمله Chris Evans، Tavis Ormand و Matt Moore با ارسال پستی گفته­اند: ما شرکت­های زیادی را دیده­ایم که با مستمسک قرار دادن «افشای متعهدانه»، زمان نامحدودی را برای رفع آسیب­پذیری­ها در اختیار گرفته و این امر را به تاخیر می­اندازند. این موضوع گاه ممکن است سال­ها به طول انجامد.

در ادامه این پست آمده است: در این فاصله زمانی، با عمومی شدن باگ­های مزبور، بزهکاران به وسیله همان ابزار و روش­هایی که توسط محققان قانونمند به کار گرفته می­شود، از نواقص امنیتی سوء استفاده می­کنند.

یک نمونه چنین وقت­کشی را می­توان در باگ 17 ساله یکی از محصولات مایکروسافت که توسط Tavis Ormandy شناسایی شد، مشاهده کرد.

بر اساس این گزارش باگ مزبور که در سیستم فرعی VDM مایکروسافت نهفته بود، 17 سال عمر داشته و مایکروسافت هم از 10 سال پیش از وجود آن با خبر بوده است ولی تا زمانی که Ormandy جزئیات آن را در معرض دید عموم قرار نداد، کاری برای برطرف­سازی آن انجام نداد.

شاید امروزه که «زمان» به عامل تعیین­کننده­ای در تامین امنیت محصولات نرم­افزاری تبدیل شده است، بتوان پیشنهاد محققان گوگل را با تامل و دقت بیشتری مورد بررسی قرار داد.

منبع: TechWeb

تصویر: avvoblog.com