Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 27/3/2002
Forslagsstillerne bag Responsible Vulnerability Disclosure Process har trukket deres forslag til standard tilbage efter kritik fra internet-standardiseringsorganisationen IETF (Internet Engineering Task Force).Meningen med Responsible Vulnerability Disclosure Process var at fastlægge nogle retningslinier for, hvordan sårbarheder i it-systemer offentliggøres. Ifølge forslaget skal en person eller virksomhed, der opdager et sikkerhedshul eller en anden sårbarhed i et produkt, give den ansvarlige besked om det. Herefter skal den ansvarlige for produktet have 30 dage til at løse problemet, før det offentliggøres.
Ifølge Steve Christey fra sikkerhedsorganisationen Mitre blev forslaget trukket tilbage, fordi der ikke var enighed i IETF om, at den type retningslinier falder ind under organisationens opgaver, der er mere tekniske. Han er den ene af forslagets to forfattere.
IETF oplyser, at organisationen heller ikke var begejstret for at få præsenteret et færdigt forslag i stedet for at blive inviteret til at give sit besyv med.
Idemændene prøver nu at se, om de kan lancere forslaget i en anden standardiseringssammenhæng. Om nødvendigt vil de selv oprette en organisation til at arbejde for sagen, skriver Steve Christey på diskussionslisten SAAG.
Forslaget er opstået som en konsekvens af en løbende debat om offentliggørelse af sikkerhedsproblemer: En holdning går ud på, at sikkerhedsproblemer skal offentliggøres, så snart de findes. Det sker ud fra en tanke om, at hackerne alligevel kender til hullerne lynhurtigt. Andre mener, at leverandørerne skal have tid til at løse problemerne, før de kommer til offentlighedens og dermed hackernes kendskab.