Managed hosting door True

Consortium wil verspreiden van gegevens over fouten in software reguleren

Beperkte veiligheidslekken

 

Vijf it-beveiligingsbedrijven gaan samen met Microsoft informatie over beveiligingsproblemen beperkt openbaren. Hoofdoelstelling van de groep is het ontmoedigen van 'full disclosure' ; het gebruik om alle details van een veiligheidslek te publiceren, ook wanneer dit kwaadwilligen juist helpt.

De bedrijven Bindview, Foundstone, Guardent, @Stake en Internet Security Systems maakten eind vorige week aan het slot van de driedaagse Trusted Computing Forum bekend dat ze zich aansluiten bij het initiatief van Microsoft. De coalitieleden willen bij het geven van informatie over veiligheidsproblemen details weglaten die door kwaadwillenden gebruikt kunnen worden. Dertig dagen na deze eerste bekendmaking, kunnen de leden meer gedetailleerde informatie publiceren.
De nieuwe organisatie wil de komende maanden een aantal verzoeken om commentaar (requests for comments, RFC's) openbaren, waarin het uiteenzet hoe informatie over veiligheidslekken bekend te maken. De RFCs bespreken details als de manier van rapporteren, e-mail adressen en de termijn waarbinnen leveranciers moeten reageren. Samen met het commentaar worden deze voorstellen ingediend bij Internet Engineering Task Force, waar het publiek ze kan bestuderen. Mogelijk neemt deze organisatie de RFCs aan als opties voor standaarden.

Blauwdrukken

Het inititiatief voor de aankondiging ligt bij Scott Culp, manager van Microsofts Security Response Center. Hij plaatste vorige maand een artikel op de website van het bedrijf, waarin hij de gemeenschap van computerbeveiligingsdeskundigen oproept te stoppen met het aanleveren van een teveel aan details over veiligheidslekken, "de blauwdrukken van wapens zoals virussen".
Het aankondigen van de lobby op de Trusted Computing Forum in Californië ontlokte meteen veel kritiek. "Voor Microsoft is het een manier om aan sommige beschamingen te ontkomen", reageerde Marc Maiffret van eEye Digital Security in een artikel op de website The Register.
 

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/1296490). © Jaarbeurs IT Media.

?


Lees meer over


 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.