Версия для печати
13.11.2001
Microsoft создает организацию по контролю за сообщениями о дырах в защите программ.
Компания Microsoft уже давно предлагала разработать этические нормы для обнародования сообщений о наличии уязвимостей в программах. Когда это касается программ Microsoft, компания призывает не спешить с сообщением об очередной дыре, так как это может повредить безопасности пользователей.
Еще в начале октября Скотт Калп, управляющий Центра безопасности Microsoft, назвал распространение этих сведений и программ "информационной анархией", и заявил, что самые серьезные эпидемии вирусов-червей были прямым следствием подобных действий.
Важнейшим шагом компании в сфере безопасности стало создание организации, направленной на наблюдение за сообщениями об уязвимостях и вирусах в сети. Организация, в которую, помимо Microsoft, вошли 5 компаний,разрабатывающих средства сетевой безопасности, будет заниматься распространением идеи "ответственной" публикации сообщений об уязвимостях.
Руководитель компании Guardent, вошедшей в альянс, сообщил, что "необходимо разработать нормы для выпуска сообщений об уязвимостях". "Это НЕ инициатива Microsoft! - заявил представитель Guardent. - Мы хотим, чтобы и Cisco, и Sun, и поставщики систем обеспечения безопасности присоединились к нам". О создании организации было объявлено на конференции Microsoft Trusted Computing. Кроме Guardent её членами стали компании @Stake, Bindview, Foundstone и Internet Security Systems.
Организация должна начать свою деятельность в течение месяца, к моменту открытия в нее должно войти большее число компаний, сообщают в Microsoft. О будущих "этических нормах" пока известно только то, что Microsoft предлагает давать разработчикам ПО 30 дней на выпуск патча, не публикуя информацию об уязвимости.
Намерения Microsoft получили негативную оценку у российских экспертов по безопасности. В частности, представитель компании ALT Linux заявил, что "это уже не первое заявление подобного рода от Microsoft, в которых компания в ответ на обвинения в уязвимости своих программ переводит разговор из области технологий безопасности в политическую плоскость".

Источник: Журнал "Компьютерра"