厂商ISS修改漏洞通知机制!
添加时间: 2005-5-21 3:35:38 作者: 网络技术 阅读次数:72 来源: http://d9soft.com
网络安全公司Internet Security Systems(ISS)在星期一宣布将来发表软件漏洞的新准则。这份新的准则同时也符合了微软(Microsoft)以及其它数家安全相关厂商所组成的网络安全联盟(Organization for Internet Safety)所建议原则。
ISS之前两三次在公布Apache等Open Source软件的问题时,因为只给了开发者社群很短的应变时间,所以遭到不少的批评。这次在新的准则当中,ISS强调未来将同等对待Open Source软件或者是微软这些专属规格的厂商,任何软件的问题,在知会开发商之后,还会经过30天的缓冲期才进行公开。
不过在ISS将漏洞提报到FBI主管网络安全的国家基础建设防护中心(National Infrastructure Protection Center, NIPC)和计算机网络危机处理(Computer Emergency Response Team, CERT)/协调中心时,ISS并不负责对协力厂商提供该项信息。而这对Open Source的开发人员来说,会是一个必须考量的问题。
以Linux为例,当使用者碰到问题的时候,大多会和Red Hat这种Linux配销商联系,而不是Apache Foundation这样实际的开发团队联络。所以当ISS通过新的准则知会CERT等单位时,尽管Red Hat参加了CERT,ISS并不负通知Red Hat这些协力厂商的责任。
ISS负责弱点研究分析的Chris Rouland指出,“对多发行厂商的Open Source软件提供安全建议,是非常具挑战性的,我们希望软件供货商可以知会其下游的发行厂商。”
上下文章:
上一篇文章: 微软新操作系统“Longhorn”部分细节曝光! 下一篇文章: 美ISS发布安全漏洞检测指南!
相关文章:
相关软件: