Skryté náklady na embargo

Kurt Seifried se v příspěvku The hidden costs of embargoes na blogu Red Hatu věnovaném počítačové bezpečnosti zamýšlí nad skrytými náklady na informační embargo uvalené na bezpečnostní chyby v průběhu jejich řešení. To, že o některých chybách jsou informování jenom "vyvolení" neznamená, že nikdo jiný nemůže chybu nezávisle najít (Heartbleed byl nalezen nezávisle Googlem a Codenomiconem). Tím, že se chyby opravují tajně, se stává, že je chyba opravena jenom částečně (Shellshock a několik CVE). Na konci příspěvku se Kurt Seifried ptá: Proč neřešit bezpečnostní chyby stejně jako normální chyby? [LWN.net]

Komentáře

Tak trebas takovej M$ chyby opravuje az po tom, co se po netu povaluje jejich popis vcetne funkcniho exploitu.

15.6.2015 18:50 R
Rozbalit Rozbalit vše Re: Skryté náklady na embargo

Aj to az nasledujuci mesiac a nie vsetky.

16.6.2015 12:14 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Skryté náklady na embargo

proč lžeš?

16.6.2015 18:34 j
Rozbalit Rozbalit vše Re: Skryté náklady na embargo

Co sem odkazujes ty sracky co jeste ani nevysly?

16.6.2015 19:13 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Skryté náklady na embargo

Co sem odkazujes ty sracky co jeste ani nevysly?

Sice to ještě ani nevyšlo, ale už je tam plno děr z toho dvacet let recyklovanýho kódu. :-D

Embargo je opravdu velmi slozite zvlastne v open source projektech, kde je veskery kod, veskere veci kolem otevrene vsem. A nuti to tedy k takovemu gerilovemu zpusobu reseni problemu, ktere mohou opravdu vest k jeste vetsim pruserum. Kdysi davno jsem ve Fedora Boardu se snazil presvedcit zbytek o nutnosti privatnich buildu na zadost OpenJDK lidi. Tam build se vsemi testy muze trvat nekolik dnu a byl to boj, chapu, ze je tam jisty problem filozoficky. Board to nakonec schvalil, ale implementace by byla ve vsech toolech tak slozita, ze se to nikdy nestane. Zaroven cele embarga jsou jen gentelmanska dohoda. Nic vic, nic min.