В США создана госпрограмма по сокрытию от общественности уязвимостей в популярном ПО

В США опубликовали новую версию документа, который подробно описывает, какие государственные агентства этой страны вовлечены в процесс сбора информации о багах в распространенном ПО и эксплойтах для них, и по каким критериям они выбирают, какие уязвимости сохранить в тайне, а о каких уведомлять вендоров уязвимого софта.

Согласно документу, отбором уязвимостей занимается комиссия, состоящая из представителей сразу десяти правительственных ведомств, в числе которых ЦРУ, Госдепартамент, министерства обороны, юстиции и финансов.

Каждый месяц эта комиссия собирается для обсуждения выявленных багов и решает, что с ними делать. Критериями оценки служат распространенность уязвимого продукта, простота обнаружения и эксплуатации уязвимости, возможные последствия такой эксплуатации, насколько просто или сложно эту уязвимость исправить и какую оперативную ценность этот баг может представлять для разведывательной или правоохранительной деятельности.

В некоторых случаях Vulnerability Equities Process (VEP, «Регламент сбора ценных уязвимостей») предполагает публикацию сведений о том, как уязвимость можно исправить, но без каких-либо технических подробностей о ней самой. В отдельных случаях право на использование тех или иных уязвимостей будет зарезервировано лишь за определенными ведомствами.

Надзирать за всей процедурой поручено Конгрессу США, которому регулярно будут направляться отчеты об использовании уязвимостей и статистика по раскрытию таковых. Часть данных будет публиковаться открыто, часть останется конфиденциальной.

 

 

Версия для печатиВерсия для печати

Регион: 

Рубрики: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

Аватар пользователя mike

По сокрытию...

Нет, уязвимости нужно публиковать для хакеров, да?laugh (Журналисты -- такие журналисты.)

Аватар пользователя Piton

mike пишет:

По сокрытию...

Нет, уязвимости нужно публиковать для хакеров, да?laugh

Где в статье говорится про публикацию хакеров? Русским по белому написано: "какие уязвимости сохранить в тайне, а о каких уведомлять вендоров уязвимого софта". Опять очки подвели?

(Журналисты -- такие журналисты.)

Майк такой Майк. В последовательности действий "читаем - думаем - пишем" совсем не обязательно пропускать первые два пункта.

+1
Аватар пользователя mental

Старость не радость, голова подводит иногда стариков 

-4
Аватар пользователя mike

Где в статье говорится про публикацию хакеров?

Прав был Логик: обратным курсивом! Ибо некоторые не поймут. (Подсказка: иронию.) laugh

Ментал, не усердствуйте; Вас я ignore. laugh

-1

mike пишет:

Где в статье говорится про публикацию хакеров?

Прав был Логик: обратным курсивом! Ибо некоторые не поймут. (Подсказка: иронию.) laugh

yes

Но админ никак не хочет идти на это. Он наверное думает - когда на Хабре такое введут, тогда и тут будет.

Но на Хабре админ такой же - он думает, пока на KV.BY не введут, то и он не введёт.

Админы - они супер-конденсаторы супер-консерваторы.