Фирма Tipping Point, являющаяся дочерней структурой HP, объявила о том, что
теперь данные об уязвимостях, полученные в рамках программы
Zero Day Initiative
(ZDI), будут публиковаться в открытом доступе спустя шесть месяцев после того,
как разработчик получит официальное уведомление об их наличии.
Если в течение полугода Tipping Point не получит от разработчика ПО ответа на
свое предупреждение, фирма предоставит сведения о проблеме своим клиентам, а
также предложит меры по ее решению. Затем последует полное официальное
разглашение полученной информации, если в процессе устранения недоработки не
будет заранее согласован новый крайний срок принятия мер.
“Всесторонний подход к безопасности критически важных информационных активов
требует от организаций постоянного обновления средств защиты, поскольку
вредоносная активность выходит на новые уровни, а приложения становятся все
более сложными. Изменяя политику разглашения данных об уязвимостях, мы делаем
важнейший шаг к предотвращению нападений и снижению возможных потерь от них”, -
отметил ведущий специалист Tipping Point Аарон Портной.
Таким образом, компания, выплачивающая исследователям крупные вознаграждения
за найденные уязвимости, а потому имеющая одну из самых больших в мире коллекций
багов, информацию о которых она предоставляет по платной подписке, становится на
сторону поборников открытого обсуждения брешей. Тем самым в Tipping Point
стремятся побудить нерасторопных разработчиков оперативнее устранять
потенциально опасные ошибки.