הדיון סביב Full Disclose כנראה שלא נרגע לעולם: יצרנית מסד הנתונים Sybase
מאיימת לתבוע חברת אבטחה שרוצה לחשוף שמונה חורי אבטחה במוצריה.
החברה כבר דיווחה בעבר ל-Sybase על החורים, וזו שיחררה טלאי תיקון בחודש שעבר. האיום עבד, וחברת NGS כנראה לא תפרסם את החורים. האמתלה בה Sybase נתלית היא פסקה ברשיון השימוש של גרסות הפיתוח שאוסרת פרסום תוצאות מבחני ביצועים על התוכנה.
לפני כחודשיים - מיקרוסופט יצאה בפומבי כנגד חברת פינג'אן על
שחרור קוד בדיקה לטלאי אבטחה - קוד שמיקרוסופט טענה שיכול לעזור לקראקרים לנצל את פרצות האבטחה.
חוסר הרצון לפרסם חורי אבטחה אינו ייחודי רק לתוכנה קניינית (ששם הסיבות ברורות - זה רע לעסקים) - גם בפרוייקטי קוד פתוח מסויימים יש נטייה לעתים להסתיר חורי אבטחה (ופרוייקט מוזילה מוזכר לעתים בהקשר זה). השאלה אם כן, היא האם הסתרת בעיות אבטחה אכן מיועדת להגן על המשתמשים, כפי שגורסים השוללים full disclosure פומבי של חורי אבטחה, או זוהי כסות שנועדה להגן על מפתחי התוכנה, בעוד שהמשתמשים יוצאים ניזוקים, בין אם בשל תיקונים שמתעכבים ובין אם בשל חוסר הידיעה לגבי חומרת הבעיות?
קישורים למידע נוסף:
הרצאה של אבירם חניק בתלוקס,
Full_Disclosure (פורמט אופן אופיס),
הפינגווין,
אבטחה באמצעות שקיפות ולא הסתרה? הקוד הפתוח ומודל האבטחה של התוכניות,
ווטסאפ,
אם הם רק היו סותמים ת'פה,
ווטסאפ,
סוד הבאג הנעלם,
ווטסאפ,
לינוס על בעיות אבטחה בקרנל הלינוקס: לגלות או לא לגלות?