Ново усилие с отворен код: Правен код, който трябва да направите отчитане на грешки в сигурността по-безопасно

„Лого Увеличи / Проектът Disclose.io: отворен източници на договори, за да се избегнат хакери и разработчици с бели шапки правна неприятност.Откриване.io

Не минава и седмица без друг голям бизнес или интернет услуга, обявяваща нарушение на данните. И докато много компании имат започнаха да приемат програми за натрупване на бъгове за насърчаване на отчитането на уязвимости от външни изследователи по сигурността, те са го направили до голяма степен непоследователно. Това е причината за Disclose.io, a усилия за сътрудничество и отворен код за създаване на отворен код стандарт за програми за разкриване на грешки и програми за разкриване на уязвимост, които защитава добронамерените хакери.

Допълнителна информация

Губернаторът на Джорджия налага вето на киберпроекта, който би криминализирал “неоторизиран достъп”

Липсата на последователност в разкриването на грешки на компаниите програми и липсата на език за „безопасно пристанище“, който защитава добронамерени хакери от съдебни действия в много от тях – могат възпирайте всеки, който открие грешка в сигурността, да не я докладва. И неясният език в програмата за разкриване може не само да обезкуражи сътрудничество, но може също да доведе до бедствия в обществените отношения и a вреди на репутацията на общността за сигурност, както се случи с производител на дронове DJI миналия ноември.

Dropbox се премести, за да определи собствените си условия за разкриване на уязвимост и беше мотивиран да променя собствената си правна политика, следвайки определена дело срещу репортер за разкриване на уязвимост. Фирми, които управляват многобройни бъгове за големи организации, включително HackerOne и Bugcrowd, положиха свои усилия за накарайте клиентите да стандартизират условията за сигурност.

Допълнителна информация

В продължение на 8 дни Windows предложи мениджър на предварително заредени пароли с a уязвимост на приставките

Но тези усилия не се превърнаха в по-широко осиновяване от онези най-добри практики – затова беше Disclose.io формира се. Проектът има корени в две отделни, но подобни усилията са превърнати в Disclose.io. Първият е #LegalBugBounties, което е усилие, започнато от Amit Elazari, a докторант в Калифорнийския университет в Бъркли Юридическо училище и стипендиант на Центъра за университет за Дългосрочна киберсигурност. Вторият е Open Source Рамка за разкриване на уязвимост, усилие, започнато през 2016 г. от Bugcrowd и адвокатската кантора CipherLaw.

Кейси Елис, основателят и CTO на Bugcrowd, каза, че позволяването хакери с бяла шапка, които активно търсят уязвимостите “могат да бъдат плашеща концепция за хората, които строят, управляват и защитават софтуер, но е необходимо да се конкурираме с противниците които са там. Стандартизацията е най-добрият начин за отричане правна или репутационна репутация, докато все още привлича най-добрите ловци към вашата програма. ”

Има и други потенциални ползи от широката стандартизация. В документ, публикуван през май, Елазари твърди, че „използвайки стандартизиран език на котел за безопасно пристанище, бъгове от бъгове предлагат уникална възможност да засегнат правния пейзаж на хакерство с бяла шапка като форма на частна регулация. ”

Поради това, което Елазари определя като „мътния пейзаж на закони за борба с хакането “- както Закона за компютърните измами и злоупотреби, така и този Законът за авторските права на цифровото хилядолетие – програмите за безвъзмездна помощ “представят интересен казус за това как договорите могат да насърчават сигурността изследвания, вместо да го задушаваме. ”

Усилията на Elazari и Bugcrowd вече спечелиха нови конвертира. Работата на Елазари беше цитирана от ръководителите на Mozilla като вдъхновение за последните промени в програмата на Mozilla за изкупуване на бъгове. И като се имат предвид регламентираните практики за сигурност на информацията някои отрасли – и колко лошо законодателство по отношение на всякакъв вид през последните няколко години се извършва хакерство – използва се „отворен източник, “тествани бойни котлони договори за бързо приемане на Програмите за разкриване и багаджийски програми могат да бъдат много по-лесни и много по-малко скъпо от всичко, назначено от новото правителство регулиране.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: