卫东编译
计算机世界网消息 程序开发人员还没有来得及解决软件中的安全漏洞,互联网安全系统公司(ISS)就把有关的安全隐患公布于众,因此遭致业界批评。现在ISS公司修改了有关发布安全问题警告的指南。
ISS公司是周一在它的网站上公布这个指南的。该公司X-Force安全专家组主任Chris Rouland发布了一个声明。这个专家组的任务是判别网络不安全因素,并向公众报告。Rouland在声明中说,安全研究人员需要有一套标准来综合考虑公众对于安全状况的知情权,以及软件设计人员对解决安全隐患的想法。
这个一共六页的指南可以在该公司网站上下载(documents.iss.net/literature/vulnerability_guidelines.pdf),包括四个阶段:(1)发现安全隐患;(2)通知厂商;(3)通知消费者;(4)向公众发布相关信息。这个指南对所有软件开发组织都是同等对待的,包括开发源代码软件和自主开发软件的开发商。
根据新的指南,一旦发现软件的安全隐患,X-Force将向厂商和相关单位发出书面通知。
在接到通知30天内,软件开发商应该给出解决方案,除非厂商对安全问题有不同看法。
30天后,X-Force将向互联网邮件列表公开有关安全问题,同时也将把相关资料公布在它的网站上。
中国万家企业免费试用企业邮箱。进行中!
订阅短信头条新闻,第一时间、突发事件、重大新闻尽在掌握!
|