Съдържание:
- Определение - Какво означава разкриване на уязвимост?
- Техопедия обяснява разкриването на уязвимостта
Определение - Какво означава разкриване на уязвимост?
Разкриването на уязвимостта е политика, практикувана от организации, както и от отделни лица, по отношение на разкриването или публикуването на информация относно уязвимостите на сигурността и експлоатациите, свързани с компютърна система, мрежа или софтуер. Това се дължи на факта, че етичните хакери и експертите по компютърна сигурност смятат, че тяхната социална отговорност е да осведомят широката общественост за уязвимостите, които могат да ги повлияят, в противен случай мълчанието може да доведе до фалшиво чувство за сигурност и да доведе до самодоволство на хората, което води до допълнителни рискове.
Разкриването на уязвимостта е известно още като пълно разкриване на уязвимости или просто пълно разкриване.
Техопедия обяснява разкриването на уязвимостта
Разкриването на уязвимостта е практика да се публикуват подробности за уязвимостта на сигурността пред широката общественост за контрол и да се принуждават доставчиците на софтуер и хардуер да закърпят тези проблеми бързо. Преди оповестяването на уязвимостта продавачите на софтуер и хардуер разчитаха на сигурността на тайна, което означава, че се надяваха, че каквито и уязвими места да не бъдат открити и експлоатирани от хакери. Хакерите обаче отново и отново доказаха, че ако съществува уязвимост, най-вероятно ще я открият рано или късно.
Преди разкриването на уязвимостта да се превърне в обичайна практика, изследователите по сигурността, които ще съобщават за откритите уязвимости, често се игнорират, а някои дори заплашват с съдебни дела, ако уязвимостите станат известни. Някои компании дори третират тези уязвимости като „теоретични“, докато находчив хакер не ги намери и експлоатира, след което компанията ще трябва бързо да разработи кръпка и след това да се извини обилно на своите клиенти. Ето защо група компании и изследователи по сигурността се събраха, за да образуват „разкриване на отговорност“, което разчита на заплахата от публикуване на уязвимостта, за да накара въпросната компания да направи нещо по въпроса.
Процесът за разкриване на уязвимост започва, когато се открие уязвимост в компютърна или хардуерна система. Лицето, което го откри, информира компанията с подробности за уязвимостта, за да могат да предприемат действия. След 45 дни, независимо дали компанията е пуснала кръпка или не, уязвимостта се оповестява публично.
