Scott Culp
På konferansen fikk Microsoft følge av fem anerkjente sikkerhetsselskaper - BindView, Foundstone, Guardent, Internet Security Systems og @stake i et forslag om retningslinjer for hvordan nyoppdagede sikkerhetshull skal behandles. Retningslinjene skal justeres løpende etter tilbakemeldinger fra IT-sikkerhetsfolk og så legges fram for et standardiseringsorgan, heter det.
De seks selskapene er enige om at publisering av detaljert informasjon om nyoppdagede sikkerhetshull må vente til minst 30 dager etter at det er utviklet en godkjent og effektiv fiks. Før det, skal det sendes ut hensiktsmessige varsler, men uten detaljer som kan gjøre det enkelt for ondsinnede hackere å utnytte sårbarheten.
Det er ikke enighet om dette blant ledende IT-sikkerhetsfolk. Ifølge Wall Street Journal sa en representant for Bugtraq at tilbakeholdingen av detaljer i 30 dager svarer til Microsofts behov for å tone ned blest rundt selskapets egne utilstrekkelige produkter. Bruce Schneier fra Counterpane Systems mener man ikke bør holde tilbake så mange detaljer at systemadministratorer ikke gis tilstrekkelig bakgrunn for selv å kunne avgjøre om de er tjent med å installere fiksen, og teste for hvorvidt den faktisk virker etter hensikten.
En annen tilnærming er valgt av FBI-organet Computer Emergency Response Team. De har valgt en abonnementsordning der bedrifter som betaler 50.000 dollar i året gis detaljerte varsler om nyoppdagede sikkerhetshull flere uker før varslene offentliggjøres.
