Facebook даст 90 дней на устранение уязвимостей

Дата: 04.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности

В Facebook представили «Политику раскрытия уязвимостей», согласно которой сторонним разработчикам будет дано 90 дней на устранение обнаруженных уязвимостей, иначе о них будет рассказано общественности.

Сотрудники Facebook управляют одним из крупнейших портфелей программного обеспечения в мире с сотнями приложений и миллиардами строк кода, которые предоставляют широкий спектр услуг пользователям по всему миру. Но большая часть приложений Facebook поддерживается небольшими библиотеками, которыми были разработаны сторонними компаниями.

В течение последних нескольких лет сотрудники Facebook часто обнаруживали уязвимости в этих сторонних компонентах, о которых служба безопасности компании всегда сообщала разработчикам. Некоторые разработчики библиотек исправляют ошибки в течение нескольких дней после уведомления, в то время как в других случаях Facebook приходилось самостоятельно исправлять код или разрабатывать собственные альтернативы.

Facebook не считает, что это должно быть нормой, поскольку это несправедливо по отношению к другим пользователям этих сторонних библиотек, большинство из которых будут продолжать использовать непропатченный код. Один из способов решения проблем раскрытия информации в Facebook – новая политика, которую компания намеревается применять с сегодняшнего дня.

Facebook сообщает, что предоставит разработчику подробный технический отчет с описанием ошибки:

  • если компания/разработчик не подтвердит получение отчета в течение 21 дня, сотрудники Facebook публично раскроют подробности ошибки в Интернете, чтобы другие пользователи/разработчики смогли защитить свои разработки;
  • если компания/разработчик подтвердит получение отчета в течение 21 дня, то у них будет 90 дней для исправления проблем, что является неофициальным стандартным сроком в сообществе программного обеспечения, который охотники за ошибками предоставляют компаниям для исправления проблем безопасности.

Единственная ситуация, при которой Facebook сразу выложит в открытый доступ информацию об обнаруженной уязвимости – это когда проблема в приложении активно используется киберпреступниками. Однако не все 0-day уязвимости будут раскрыты сразу, а только в тех случаях, когда раскрытие ошибки помогает пользователям оставаться в безопасности.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

тринадцать − 3 =