最近微软安全研究人员计划改变信息安全策略,修改当前信息安全披露制度,以使其对发现和修补漏洞的处理变得更加容易和安全。
据悉,目前在信息产业掀起了关于“全面披露”(FD)制度优点的争论,而在该制度下很多疵病信息在补丁可用之前就被公开了。另一种信息披露制度是“揭露协议”(RD)信息披露制度,而在该制度下,需要等到补丁可用时信息才会被公开。
微软高级安全战略家卡蒂?穆索瑞斯(Katie Moussouris)指出:“包括微软之内的大多数供应商倾向于选用“揭露协议”信息披露制度,而人们会有一种从全面披露到‘揭露协议’信息披露方式改变带来的落差感。 ‘揭露协议’只有在这种情况下才被弃用,即弃用是为了增强安全性、保护用户和系统的安全” 。该篇博文所倡导的信息披露制度嬴得了产业内一些大公司的支持。
据悉,微软正计划的“协调信息披露”(Coordinated Vulnerability Disclosureb,CDV)制度大部分内容与当前‘揭露协议’信息披露制度相似。但是二者也有区别,即如果攻击被广泛发现,微软公司和研究人员将会发出警告,指出存在的问题和可能确保系统安全的解决方案。
穆索瑞斯表示:“微软不赞成全面披露制度,公司研究人员仍然在研究使公布信息的举动能在某些原则下进行,这样便于公司协调所有公告并保护用户的安全。”微软可依赖计算部门安全技术高级管理人员马特?汤姆林森(Matt Thomlinson)表示:“实行全面披露制度太过极端,我们现在所做的一切只是为了保护用户,‘协调信息披露’制度才更有利于保护用户的安全”。
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
