terjemahan dari vulnerability nondisclosure
Kerentanan menjaga rahasiaSebuah kebijakan menjaga rahasia dalam perusahaan berarti bahwa siapa pun menandatanganiperjanjian menjaga rahasia setuju untuk menjaga informasi kerentanan dalam bahwaorganisasi erat terkandung sehingga tidak ada seorang pun di luar organisasi, terutamamasyarakat umum,pernah belajar dari keberadaan kerentanan produk.Beberapa vendor dan lembaga keamanan mencoba untuk mempromosikan kebijakan menjaga rahasia.Mereka merasa perlu untuk mengontrol informasi kerentanan dan hanya dipercayaindividu menerima informasi tentang kelemahan produk atau sistem. Dengan cara ini, bisnispercayamerekadapat melindungirentansistem sampai memperbaiki tersedia.Road to Hell Perkerasan Company, IncKerentanan Pengungkapan • Bab 3 79Perdebatan yang tampaknya abadi mengenai pengungkapan kerentanan pernahsesuatu yang saya cintai untuk mengikuti sebagai orang luar. Saya punya pendapat yang kuat, namun tidak adarelevansi nyata bagi mereka, seperti yang saya telah tidak menemukan satu atau merasa kemungkinanbahwa saya akan. Semua itu berubah beberapa tahun yang lalu, di tengah-tengahbeberapa pekerjaan untuk sebuah organisasi besar yang harus tetap tak disebutkan namanya karena adanyamenjaga rahasia perjanjian yang masih berlaku. Saya memimpin sebuah tim kecilTugas yang adalah untuk menemukan masalah apapun dan semua dengan virtual private network(VPN) produk yang akan segera dilaksanakan. Sayangnya, tidak hanyakami menemukan masalah, kami menemukan banyak masalah, dan bahkan tidak menyelesaikanmemeriksa semua hal yang kita ingin untuk memeriksa sebelum waktu (dan dana) untukproyek berlari keluar. Vendor membahas tiga isu pertama yangditemukan (yang semuanya dalam waktu dua hari, sebelum kita bahkan naik ke terbalikrekayasa, saya harus menambahkan), yang merupakan kabar baik. Kabar buruknya adalah bahwaitu adalah konsensus yang luar biasa dari tim yang lebih banyak masalah yangmengintai dalam perangkat lunak, baik pada server dan klien akhir. Pada satutitik, salah satu ketakutan dikonfirmasi, seorang teman saya mengeluh kepadasaya suatu hari, sekitar setahun kemudian, tentang bagaimana seseorang hanya bisa menyalinperangkat lunak VPN klien dari satu komputer ke komputer lain, dan semua informasi yang(Menyimpan password) yang diperlukan untuk login ke VPN jarak jauh akan mengikutidengan direktori satu, ini adalah abhorrently keamanan yang buruk untuk aplikasi seperti itu,dan itu adalah penyiksaan semata-mata menjaga mulutku saat aku mendengarkan.Sayangnya, klien belum memberikan izin untuk mengungkapkan, merekatidak akan pernah, dalam semua kemungkinan. Untuk alasan apapun, klien mengikutimemimpin vendor tentang masalah ini, dan dengan demikian menentang pengungkapan. IniTerus-meneruswww.syngress.com290_Ethics_IT_03.qxd 5/10/04 11:40 Page 8080 Bab 3 • Kerentanan Pengungkapansangat disayangkan dalam ekstrem terbesar, seperti yang saya telah menyaksikan banyak besar danorganisasi penting mengimplementasikan perangkat lunak selama dua tahun terakhir,diragukan lagi menyadari apa yang mungkin terjadi jika topi hitam adalah untuk menemukankelemahan yang masih bersembunyi di dalam. Hanya bertanya baik tentang mengungkapkan,baik setelah kerentanan dikenal yang tetap, telah membawa ancamangugatan dari klien, ada sedikit keraguan apa yang akan terjadi harussalah satu dari kami memutuskan untuk mengungkapkan secara spontan. Tapi ada hal kecil untuktetap diam mengenai masalah yang dapat mempengaruhi orang lain, baik.Rob SheinEDS - Washington, DC