terjemahan vullnerability disclosure by security


Kerentanan Pengungkapan oleh Security
Perusahaan riset - Haruskah Mereka Katakan?
Dengan frekuensi yang lebih besar, perusahaan riset keamanan menerima kritik untuk mengungkapkan
kerentanan untuk tujuan tunggal menghasilkan coverage.The pers yang menguntungkan
liputan media sebuah perusahaan keamanan menerima mungkin berarti pendapatan substansial dalam
bentuk kontrak pelanggan baru atau yang lebih besar. Karena itu, masyarakat mulai
mempertanyakan motivasi sebenarnya di balik beberapa penelitian kerentanan dan pengungkapan
organisasi. Dalam beberapa kasus, pengungkapan kerentanan oleh perusahaan keamanan
www.syngress.com
Kerentanan Pengungkapan • Bab 3 87
adalah hasil dari stress testing intens kemungkinan products.The dari kerentanan
datang ke kehidupan di luar lingkungan laboratorium palsu diproduksi kecil, jika
tidak mustahil. Haruskah pengungkapan kerentanan ditemukan di laboratorium di bawah
kondisi yang tidak biasa seperti stress testing intensif dibuat tersedia bagi
publik?
Penemuan mempublikasikan konservatif kerentanan hanya membantu hacker
dan tidak perilaku etis. Jika Anda menerapkan hak jenis tekanan untuk hampir
setiap produk vendor, Anda akan menemukan kelemahan. Ancaman yang sebenarnya adalah tujuan
dari pengungkapan penuh, bukan "bagaimana jika" scenarios.This juga lingkungan
di mana perusahaan keamanan dapat memilih pada vendor tertentu dengan stress testing hanya
Hasil products.The mereka ilmiah tidak cukup meyakinkan untuk mendukung
mempublikasikan stress test kecuali itu dilakukan oleh badan yang berimbang tentang ahli yang
tidak ada keuntungan dari penerbitan hasil tersebut.
Liberal Mengungkapkan semua data tentang sistem penggunaan publik adalah alat yang efektif
terhadap serangan berbahaya. Berdasarkan data klien menentukan apakah
kelemahan sistem akan pernah terjadi di lingkungan produksi mereka.
Publikasi kerentanan sistem di bawah lingkungan stress test adalah aset
kepada komunitas TI.
RINGKASAN
Tergantung pada jenis stress test, ketidaktepatan sistem periklanan
kerentanan mungkin terjadi dan tidak perlu menodai reputasi
produk tertentu atau solusi vendor, sehingga membuat jenis informasi
akurat pengungkapan. Namun, semakin banyak informasi sistem
administrator memiliki mereka miliki semakin baik mereka dapat melindungi informasi
sistem yang bertanggung jawab mereka.
Etis Kewajiban untuk Peringatkan
Seseorang atau bisnis memiliki "kewajiban untuk mengingatkan" jika pemanfaatan produk mereka dapat
menyebabkan kerusakan pada kewajiban pertama bisnis user.A 'adalah untuk merancang ulang produk atau
menerapkan patch yang diperlukan untuk menghilangkan bahaya. Jika untuk beberapa alasan yang tidak bisa
terjadi, orang atau bisnis harus menyediakan cara lain untuk melindungi pengguna
dari bahaya yang terkait dengan produk mereka. Jika masalah masih ada, mereka
www.syngress.com
88 Bab 3 • Kerentanan Pengungkapan
cukup harus memperingatkan pengguna tentang hal itu. Jika bug atau kerentanan terbuka dan
jelas, maka ada kewajiban etis untuk memperingatkan.
Ini berarti bahwa produk dan solusi vendor harus menerapkan beberapa pertimbangan
harapan konsumen dan melakukan tes risiko yang tepat. Sejak produsen
adalah ahli pada produk, gagal untuk memperingatkan kerentanan oleh
karyawan adalah perilaku yang tidak etis.
Bagian ini membahas dua skenario yang berbeda tugas untuk warn.The pertama
pendukung peringatan pendekatan yang lebih konservatif merekomendasikan produk
kelemahan, dan masalah kedua alamat kasus ketika mungkin tidak sesuai
untuk memperingatkan masyarakat dari kelemahan sistem.