Новости 4 сентября 2020

Facebook будет предупреждать сторонних разработчиков об уязвимостях в коде

Далее

Facebook объявил об изменении своей политики, согласно которой компания будет уведомлять сторонних разработчиков, если обнаружит уязвимость безопасности в их коде. Facebook признался, что «иногда может обнаруживать» критические ошибки и уязвимости в стороннем коде и системах, сообщает TechCrunch.

Ранее компания уведомляла сторонних разработчиков об уязвимостях, но изменение политики формально кодифицирует политику компании в отношении раскрытия и выявления уязвимостей безопасности.

Программы раскрытия уязвимостей, или VDP, позволяют компаниям устанавливать правила взаимодействия для поиска и раскрытия ошибок безопасности. VDP также помогают раскрывать и публиковать уязвимости после исправления ошибки. Компании часто используют вознаграждение за обнаружение ошибок, чтобы платить хакерам, которые соблюдают правила компании в отношении отчетности и раскрытия информации.

Изменение политики не совсем альтруистично. Facebook, как и многие другие технологические компании, полагается на массу стороннего кода и библиотек с открытым исходным кодом. Но внесение изменений в письменной форме также предупреждает сторонних разработчиков, если они не исправят уязвимости своевременно.

Кейси Эллис, основатель и технический директор платформы для обнаружения уязвимостей Bugcrowd, сказал, что изменение политики становится все более популярным для компаний с «большой, ориентированной на пользователя сторонней поверхностью атаки», и повторяет аналогичные действия Atlassian, Google и Microsoft. .

Facebook заявил, что при обнаружении уязвимости сторонним разработчикам будет предоставлен 21 день на ответ и 90 дней на устранение проблем — общепринятые сроки для сообщения и устранения проблем с безопасностью. Компания заявляет, что приложит разумные усилия, чтобы найти подходящего контакта для сообщения об уязвимости, включая, помимо прочего, отправку сообщений электронной почты с отчетами о безопасности, регистрацию ошибок без конфиденциальной информации в средствах отслеживания ошибок или заполнение заявок в службу поддержки. Но компания заявила, что оставляет за собой право сообщить раньше, если уязвимость активно используется хакерами, или отложить ее раскрытие, если она согласна с тем, что для устранения проблемы требуется больше времени.

В новой политике особое внимание уделяется тому, как Facebook обрабатывает раскрытие проблем в стороннем коде. Если исследователи обнаружат уязвимость безопасности в Facebook или в его семействе приложений, они продолжат сообщать об этом в рамках существующей программы Bug Bounty.

Читать также

Ореол Андромеды приближается к нашей галактике. Рассказываем, почему это важно

Симптомы коронавируса у детей. На что стоит обратить внимание?

Посмотрите на самые близкие снимки поверхности Солнца