تیم امنیتی گوگل، از تامینکنندگان امنیت نرمافزارها خواست با تجدیدنظر در مفهوم افشای متعهدانه، راهکارهای بهتر و دقیقتری برای پاسخگویی سریع به آسیبپذیریها بیابند.
افشای متعهدانه (Responsible Disclosure) یک توافقنامه مهم و غیررسمی در صنعت نرمافزار بهشمار میرود که طی آن یابنده یک نقص امنیتی، پیش از آنکه جزئیات باگ را برای عموم فاش کند، فرصت کافی در اختیار شرکت تولیدکننده نرمافزار قرار میدهد تا آنها بتوانند بسته ترمیمی یا اصطلاحاً patch مربوط به آن را تولید نمایند.
شرکتهای بزرگ تولیدکننده نرمافزار همچون اپل، مایکروسافت و اوراکل، این شیوه را تایید میکنند ولی محققان امنیتی گوگل معتقدند این روش دیگر کارآیی ندارد.
به نقل از تک وب، چند تن از پژوهشگران امنیتی گوگل از جمله Chris Evans، Tavis Ormand و Matt Moore با ارسال پستی گفتهاند: ما شرکتهای زیادی را دیدهایم که با مستمسک قرار دادن «افشای متعهدانه»، زمان نامحدودی را برای رفع آسیبپذیریها در اختیار گرفته و این امر را به تاخیر میاندازند. این موضوع گاه ممکن است سالها به طول انجامد.
در ادامه این پست آمده است: در این فاصله زمانی، با عمومی شدن باگهای مزبور، بزهکاران به وسیله همان ابزار و روشهایی که توسط محققان قانونمند به کار گرفته میشود، از نواقص امنیتی سوء استفاده میکنند.
یک نمونه چنین وقتکشی را میتوان در باگ ۱۷ ساله یکی از محصولات مایکروسافت که توسط Tavis Ormandy شناسایی شد، مشاهده کرد.
بر اساس این گزارش باگ مزبور که در سیستم فرعی VDM مایکروسافت نهفته بود، ۱۷ سال عمر داشته و مایکروسافت هم از ۱۰ سال پیش از وجود آن با خبر بوده است ولی تا زمانی که Ormandy جزئیات آن را در معرض دید عموم قرار نداد، کاری برای برطرفسازی آن انجام نداد.
شاید امروزه که «زمان» به عامل تعیینکنندهای در تامین امنیت محصولات نرمافزاری تبدیل شده است، بتوان پیشنهاد محققان گوگل را با تامل و دقت بیشتری مورد بررسی قرار داد.
منبع: TechWeb