Egy a közelmúltban a hibabejelentések és sebezhetőségek bejelentésének szabványosítására az Internet fő szabványügy szervezéthez, az IETF-hez benyújtott szabvány-tervezetet készítőik visszavonták. A tervezet létrehozásának célja a szoftvergyártók és a réseket és hibákat felfedező biztonsági szakértők közötti nézeteltérések rendezését hivatott volna szolgálni a hibák közzétételét és javítását fedő folyamatnak a tisztázásával.

A gyártók szerint elég időt kell biztonsítani számukra a hibák elhárításához mielőtt egy közzététellel a hackerek figyelmét felhívják a sebezhetőség létére. A másik oldalon a biztonsági szakértők szerint az információt minél előbb el kell juttatni a felhasználókhoz annak érdekében, hogy a nyomás alatt a gyártó minél előbb megjelentesse a javítást.

A tervezet a problémát egy kompromisszumos megoldásban rendezné, amely alapesetben 30 napot biztosítana a sebezhetőség elhárítására a gyártóknak, de egyben lehetőséget is adna indokolt esetben e határidő kiterjesztésére is.

A javaslatot a készítők - Steve Christey a bedford-i Mitre Corporation vezető biztonsági szakértője, és Chris Wysopal a cambridge-i @Stake kutatási és fejlesztési igazgatója - azért vonták vissza, mert az IETF tagjai nem tudtak megegyezni abban, hogy egyáltalán szükség van -e egy ilyen dokumentumra, a sebezhetőségek jelentésére és kezelésére javasolt eljárásoktól függetlenül.

"Túl ellentmondásos ez a dokumentum", mondta Russ Cooper, a népszerű Windows-os NT BugTraq levelezési lista moderátora és a TruSecure biztonsági cég elemzője.

Ráadásul az IETF nem vette jó néven, hogy a "Responsible Vulnerability Disclosure Process" ("Felelős Sebezhetőségközzételi Folyamat") című dokumentum benyújtása előtt nem kérték ki a szervezet véleményét. Az IETF szerint ráadásul a szerzők nem is kaptak elég észrevételt a szervezeten kívülről sem. "Nem voltak kíváncsiak a visszajelzésekre", mondta Jeffrey Schiller az IETF biztonságtechnikai részének igazgatója. "Mi viszont nyitottak vagyunk a visszajelzésekre. Nem egy gumibélyegző vagyunk."

Christey szerint azonban szerzőtársával együtt tíz biztonsági kérdésekben jártas egyénnel és szervezettel - utóbbiak között a Microsoft-tal - is egyeztettek a javaslat előkészítése során. Elmondása szerint az IETF biztonsági részlegének vezetőivel is egyeztetni szerettek volna a dokumentum benyújtása előtt a szervezethez, de a javaslat időközben kiszivárgott a sajtóhoz. Ezért döntöttek a javaslat benyújtása mellett annak megvitatása végett, mondta Christey.

Schiller állítása szerint a Microsoft volt az egyik legnagyobb hajtóerő a dokumentum mögött. Elmondása alapján a szoftvergyártó saját érdekeit próbálta meg védeni egy olyan jelentési politika benyújtásával, amelyet mind a gyártók, mind a szakértők elfogadnak, és amely így mindenki által elfogadásra kerülhetne.

A Microsoft képviselője - bár nem kommentálta a dokumentumot - elismert, hogy cége támogatja a gyártók és a szakértők közötti közös nyelv kialakítását, amelyet a biztonsági rések és sebezhetőségek megvitatása során használhatnának.

Christey - bár megerősítette, hogy a Microsoft is részt vett a dokumentum létrehozásában - hangsúlyozta, hogy ő és Wysopal voltak az elsődleges erők kialakítása mögött. A készítők ezek után más utakat keresnek majd dokumentumok megvitatására.

Forrás: IDG