Ett mindre Moskvabaserat företag vid namn Intevydis har på sin blogg gått ut i strid mot en ansvarsfull publicering om sårbarheter i program och system. Den allmänt rådande policyn inom IT-branschen är att detaljuppgifter om sårbarheter inte publiceras förrän tillverkaren har tagit fram en uppdatering, något som Intevydis alltså inte stöder.
- Vår syn på en ansvarsfull sårbarhetspublicering har utvecklats och vi stöder det inte längre. Policyn tillämpas av leverantörer som ett sätt att utnyttja att säkerhetsexperter utför gratis kvalitetsarbete, skriver Intevydis i sin blogg.
Intevydis ska därför i januari publicera sårbarhetsinformation om produkter från en rad välkända tillverkare, så som IBM och Sun. Under gårdagen publicerades en proof of concept för Lotus Domino 7, och dagen innan det en brist i Tivoli Directory Server 6.2.
I en intervju på bloggen KrebsOnSecurity förklarar Evgeny Legerov, grundare av företaget, sitt agerande.
- Efter att ha arbetat med tillverkare länge nog har vi kommit till slutsatsen att det är rent ut sagt slöseri med tid. Vi kommer nu i kontakta leverantörerna för att stöda deras så kallade ”ansvarsfulla” policy för sårbarhetspublicering.
Som exempel nämner Legerov i samma intervju att uppgifter om en två år gammal sårbarhet i Realplayer snart kommer publiceras. En sårbarhet som Legerov säger att man hanterat just ansvarsfullt men trots, eller på grund av, detta ännu inte åtgärdats.
