为了抚慰人们的批评,网络安全企业互联网安全系统公司(ISS)周一发布了关于如何发布有关公司软件安全缺陷警告的指南。
ISS公司曾经发布了著名公开源代码网络服务器—阿帕奇的新安全缺陷,缺陷发布后,该应用程序开发商只有几个小时的反应时间,此事使ISS公司面临强烈批评。此事发生后又有两次类似事件,同行们质疑ISS公司发布缺陷的时间。
ISS公司弱点研究与分析团队经理Chris Rouland说,他希望公开说明公司关于缺陷发布的政策,同时也指出,公司将在未来回应批评者的抱怨。他说,我们有自己对问题的理解。
虽然ISS公司在过去也遵循周一发布的软件缺陷公布程序,但是新公布的政策做出了一项重大改变:公司将一视同仁地看待像阿帕奇这样的软件开发者和微软这类具有知识产权的开发商。ISS公司承认,公司从前在这个问题上存在一些不妥之处。
新的指南规定,ISS必须在通知有关公司软件存在缺陷的30天以后,才能向社会公开软件缺陷。然而,虽然公司过去一直向国家基础设施保护中心报告所有发现的缺陷(国家基础设施保护中心是美国联邦调查局的网络任务团队),但是指南并没有规定须向第三方通报影响安全的软件缺陷。在一般情况下,安全研究者会通知国家基础设施保护中心和计算机紧急反应团队协调中心,后者是提供安全信息的情报中心。
ISS公司指出,我们已经发现,最好的办法是软件授权人应当通知被授权人。我们没有软件供应商的完整列表,所以我们不想让任何人漏掉知道信息的机会。
