JohnnyCage
ISS: Időt kell adni a szoftverhibák kijavítására
A számítógépes biztonsági megoldásokkal foglalkozó Internet Security Systems (ISS) a közelmúltban kapott kritikák hatására részletes irányelveket dolgozott ki a szoftverhibák nyilvánosságra hozásáról.
Az Internet Security Systems (ISS) igen éles kritikákat kapott áprilisban, amikor a társaság még azelőtt nyilvánosságra hozott egy szoftverhibát, mielőtt a javítás elkészült volna. A társaság néhány órával az Apache webszerver szoftver hibájának felfedezését követően közleményben tudatta a nyilvánossággal a probléma létezését. A fejlesztőknek mindössze 1 - 2 órájuk lett volna a javítófolt elkészítésére, de ez az idő természetesen nem volt elég.
Több szakértő is úgy véli, az ISS hibát követett el, amikor nem várta meg a javítás megjelenését, mert ezzel veszélybe sodorta az Apache alapú számítógépes rendszereket. A társaság azóta több kritikát kapott hasonló esetekben.
Chris Rouland, az ISS szoftverhiba kutatási részlegének igazgatója elmondta, a társaság a határozott irányelv kiadásával azt szeretné elérni, hogy a jövőben ne érjék hasonló kritikák a társaságot. Mint a vezető elmondta, a társaság hibaközzétételi stratégiája csak egy területen változott számottevően az irányelvek kiadásával: Az ISS a jövőben ugyanúgy fogja kezelni a szabad forrású szoftverek hibáit, mint a szabadalmazott megoldásokban rejlő problémákat.
"Korábban ezzel voltak problémáink" - mondta Rouland. Az új irányelv szerint a hiba felfedezésétől, illetve a szoftverfejlesztő értesítésétől számított 30 nap múlva hozható nyilvánosságra a probléma. A társaság korábban az egyes hibák felfedezéséről azonnal értesítést küldött az FBI kiberbiztonsági részlegének, a National Infrastructure Protection Centernek (NIPC - Nemzeti Infrastruktúravédelmi Központ). Ez egyébként bevett szokás a számítógépes biztonsági cégek körében, az ISS új irányelvébe azonban nem került bele. "Arra a döntésre jutottunk, hogy a legjobb, ha a szoftver kiadója értesíti a felhasználókat a problémáról" - mondta Rouland.
Az ISS irányelvei összhangban vannak a szoftveróriás Microsoft által a közelmúltban kiadott ajánlással.
Az Internet Security Systems (ISS) igen éles kritikákat kapott áprilisban, amikor a társaság még azelőtt nyilvánosságra hozott egy szoftverhibát, mielőtt a javítás elkészült volna. A társaság néhány órával az Apache webszerver szoftver hibájának felfedezését követően közleményben tudatta a nyilvánossággal a probléma létezését. A fejlesztőknek mindössze 1 - 2 órájuk lett volna a javítófolt elkészítésére, de ez az idő természetesen nem volt elég.
Több szakértő is úgy véli, az ISS hibát követett el, amikor nem várta meg a javítás megjelenését, mert ezzel veszélybe sodorta az Apache alapú számítógépes rendszereket. A társaság azóta több kritikát kapott hasonló esetekben.
Chris Rouland, az ISS szoftverhiba kutatási részlegének igazgatója elmondta, a társaság a határozott irányelv kiadásával azt szeretné elérni, hogy a jövőben ne érjék hasonló kritikák a társaságot. Mint a vezető elmondta, a társaság hibaközzétételi stratégiája csak egy területen változott számottevően az irányelvek kiadásával: Az ISS a jövőben ugyanúgy fogja kezelni a szabad forrású szoftverek hibáit, mint a szabadalmazott megoldásokban rejlő problémákat.
"Korábban ezzel voltak problémáink" - mondta Rouland. Az új irányelv szerint a hiba felfedezésétől, illetve a szoftverfejlesztő értesítésétől számított 30 nap múlva hozható nyilvánosságra a probléma. A társaság korábban az egyes hibák felfedezéséről azonnal értesítést küldött az FBI kiberbiztonsági részlegének, a National Infrastructure Protection Centernek (NIPC - Nemzeti Infrastruktúravédelmi Központ). Ez egyébként bevett szokás a számítógépes biztonsági cégek körében, az ISS új irányelvébe azonban nem került bele. "Arra a döntésre jutottunk, hogy a legjobb, ha a szoftver kiadója értesíti a felhasználókat a problémáról" - mondta Rouland.
Az ISS irányelvei összhangban vannak a szoftveróriás Microsoft által a közelmúltban kiadott ajánlással.