Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 12/6/2003
Sikkerhedsforskere kan den næste måned kommentere et forslag til standard for, hvordan de skal rapportere opdagelser af nye sårbarheder i it-systemer. Standardforslaget kritiseres for at være for leverandørvenligt.Gruppen Organization for Internet Safety (OIS) står bag forslaget til standarden, der har fået navnet "Security Vulnerability Reporting and Response Guide". Formålet med forslaget er at etablere fælles retningslinier for, hvordan de folk, der opdager nye sikkerhedshuller og sårbarheder, offentliggør deres opdagelser.
I dag er der ingen vedtagne retningslinier. Nogle sikkerhedsforskere kontakter leverandøren af den sårbare software og giver firmaet en tidsfrist til at få løst problemet, før de offentliggør det. Andre offentliggør sårbarheden, så snart de opdager den.
Standardforslaget kræver, at den, der finder en sårbarhed, altid kontakter leverandøren først. De to parter skal så aftale, hvor lang tid der vil være rimelig, før de offentliggør sårbarheden. Som udgangspunkt anbefaler standarden 30 dage.
Den danske sikkerhedsforsker Thor Larholm har kommenteret forslaget. Han kritiserer det for at tage for meget hensyn til producenternes interesser. Således pålægger forslaget, at den, der finder sårbarheden, skal udføre arbejdet med at identificere sårbare versioner af produktet. Den opgave mener Thor Larholm, at producenten er bedre rustet til. Han gør også opmærksom på, at langt de fleste sårbarheder opdages og offentliggøres af frivillige, der arbejder gratis. Derfor mener han, at standarden i højere grad skal gøre det tillokkende for dem at følge den - ellers vil den ikke få nogen effekt.
Forslaget er til høring frem til den 7. juli. Derefter vil OIS tage stilling til kommentarerne og revidere forslaget. Den reviderede udgave vil blive fremlagt på hackerkonferencen Black Hat USA, som afvikles den 28.-31. juli.