terjemahan ""Limited Disclosure

Pengungkapan Terbatas
Pengungkapan terbatas adalah mirip dengan menjaga rahasia karena berbagi kerentanan
Informasi terjadi dalam kelompok kecil perbedaan yang unik adalah bahwa people.The
menjaga rahasia terjadi dalam organisasi dan pengungkapan yang terbatas dapat mencakup
individu di luar organisasi pada perbedaan organisasi. Selama
tahap awal pengungkapan terbatas, akses ke rincian lengkap tentang kerentanan
diberikan kepada sekelompok kecil dari kelompok individuals.This terdiri dari berpotensi
tiga yang berbeda pihak, Pengungkap, vendor, dan mungkin koordinator pihak ketiga.
Tidak seperti pengungkapan penuh, proses pengungkapan yang terbatas tidak memberikan
rincian teknis penuh dari kerentanan pada saat pengungkapan akhir. Pelepasan
detail-detail terjadi hanya ketika vendor perbaikan sistem weaknesses.The
Alasan untuk ini batas pada data teknis pendukung klaim pengungkapan terbatas yang
pengguna, programmer, dan administrator tidak memerlukan informasi teknis rinci
untuk menambal atau membela sistem. Selain itu, penggemar pengungkapan terbatas
menegaskan bahwa pengungkapan informasi teknis penuh hanya membantu topi hitam
masyarakat.
Ada beberapa masalah dengan konsep pengungkapan yang terbatas. Seperti
menjaga rahasia, kita menghadapi dilema siapa yang harus percaya dengan kerentanan awal
Informasi. Ini akan sangat sulit untuk menegakkan perilaku etis di kalangan
mereka yang dapat berdiri untuk mendapatkan dari pengungkapan atau eksploitasi yang tidak diketahui
kerentanan.
www.syngress.com
Kerentanan Pengungkapan • Bab 3 91
Tanpa pengungkapan publik wajib, tidak ada yang memotivasi
vendor untuk mengembangkan memperbaiki tepat waktu. Karena vendor dapat menunda pengungkapan akhir
sampai mereka memperbaiki cacat, menunda pengungkapan publik akhir akhirnya menunda perbaikan
tanpa batas.
Akhirnya, karena jumlah informasi teknis dalam pengungkapan awal
sangat terbatas, pelanggan mungkin tidak dapat mengambil tindakan defensif awal.
IDS Signatures dan Defensif
Tindakan - Haruskah Anda Menyediakan Detail?
Anda seorang administrator sistem dan mendengar rumor bahwa ada masalah dengan
salah satu vendor administrasi tools.The telah diungkapkan apa-apa untuk Anda sehingga
far.Without informasi teknis rinci, tanda tangan IDS tidak dapat diciptakan untuk
melawan ini masalah.Anda tahu bahwa sistem deteksi Anda tidak akan efektif
karena pengembangan alat untuk mendeteksi sistem rentan dan vendor uji
patch akan mungkin untuk mengembangkan sejak informasi tentang kerentanan
tidak revealed.With semua fakta dalam bermain, apakah Anda sebagai administrator sistem
merasa bahwa perusahaan memiliki hak etis untuk menolak memberikan pengungkapan
rincian teknis dari kelemahan produk mereka?
Konservatif Dari titik administrator sistem pandang itu tidak etis
untuk menunda atau menghindari penemuan produk mengungkapkan vulnerabilities.The dari kerentanan
sudah aktif mengeksploitasi sistem ini tidak ada kelemahan-brainer.The harus
pergi melalui pengungkapan penuh sehingga mereka dapat menciptakan administrator sistem IDS
tanda tangan untuk melawan masalah dan memperbarui defensif yang sesuai
teknologi yang dibutuhkan. Dalam situasi ini, sistem paparan dan eksploitasi yang
bencana selama jangka waktu sementara vendor menunda pengungkapan sampai
mereka siap untuk merilis patch. Bahkan jika penerbitan dari pengungkapan akhir terjadi
sebelum vendor rilis patch, administrator masih kekurangan informasi yang memadai
diperlukan untuk menyebarkan penanggulangan yang diperlukan. Akhirnya, tanpa
melengkapi pemahaman tentang struktur cacat, tim pemrograman
untuk produk vendor akan terus membuat kesalahan yang sama ketika coding
produk masa depan. Semua alasan ini adalah argumen yang solid untuk kebutuhan penuh
pengungkapan.
Liberal Meskipun gagal untuk mengungkapkan informasi dapat membahayakan
klien, vendor tidak etis diperlukan untuk melakukan pengungkapan penuh.
Pengungkapan terbatas adalah tidak etis. Sebuah pengungkapan terbatas melindungi vendor '
dan informasi sensitif klien 'dari jatuh ke tangan yang salah.
www.syngress.com
92 Bab 3 • Kerentanan Pengungkapan
RINGKASAN
Masalah ini merupakan diskusi utama dibandingkan praktis. Dari sudut pandang
dari administrator sistem, dalam banyak kasus pengungkapan penuh diperlukan untuk
mereka untuk melakukan layanan mereka secara memadai untuk semua alasan yang disebutkan.
Namun, beberapa orang mungkin masih tidak merasa bahwa vendor etis
diperlukan untuk menghasilkan pengungkapan penuh pada kerentanan produk, dan bahwa
pengungkapan tersebut memberi makan masyarakat topi hitam dan script kiddies.