Sikkerhetshull må tettes før de publiseres

En allianse av sikkerhetsselskaper og programvareleverandører krever at sikkerhetshull skal tettes før de kan publiseres.

En allianse av sikkerhetsselskaper og programvareleverandører gjorde seg selv formelt kjent i går. Organization for Internet Safety (OIS) består av blant andre SCO Group (tidligere Caldera), Microsoft, Oracle og SGI på leverandørsiden, og Internet Security Systems Inc (ISS), Network Associates og Symantec på sikkerhetssiden.

Alliansemedlemmene har arbeidet sammen et års tid for å prøve å få til felles retningslinjer for hvordan man skal forholde seg til sårbarheter i utbredt programvare. Programvareleverandørene mener at ansvarlige sikkerhetsfolk som oppdager sårbarheter straks skal melde fra til leverandøren, og at ingenting skal komme ut før en fiks er klar.

Alliansen ville opprinnelig at Internet Engineering Task Force (IETF) skulle vedta retningslinjer og gi dem status som standard. IETF fikk et utkast i februar i år, men avslo til slutt, med den begrunnelsen at de ikke ville standardisere den slags, men holde seg til sin teknologiske lest.

Materialet som OIS har offentliggjort på sitt nettsted omfatter ikke de endelige retningslinjene. Det som er klart, er at kravene om at ingen sårbarhet skal publiseres før leverandøren er klar med en fiks, og at ingen andre enn leverandøren skal underrettes, står fast. Fristen på 30 dager for å framstille en fiks, som sto i IETF-utkastet, er ikke eksplisitt nevnt. OIS erkjenner at denne regelen strider mot praksis og uskrevne regler innen åpen kildekodefellesskapet.

OIS vil også forby enhver publisering av kode som påviser sårbarheten når den kjøres. Selskapene erkjenner at slik kode kan være nyttig for å teste at en fiks virker i praksis, men mener dette hensynet må vike av hensyn til muligheten for at koden spres til ondsinnede hackermiljøer, og inngår i virus og ormer.

Prinsippet om at en tilgjengelig fiks er et ufravikelig vilkår for å publisere en sårbarhet, har allerede skapt splittelse innen OIS. I juni publiserte OIS-medlemmet ISS en sårbarhet i Apaches webserver, bare timer etter å ha informert de ansvarlige utviklerne. ISSs uttalte motiv var at hemmelighold ikke ville verne brukerne, men heller øke risikoen for at de ble angrepet, siden man måtte anta at sårbarheten allerede var kjent langt utenfor ISSs egne rekker, og det var mulig å ta forholdsregler uten en ferdig fiks.

Les også

OIS sier de vil offentliggjøre et første utkast til retningslinjer tidlig i 2003.

Til toppen