Ny kanal for rapportering av sårbarheter

Ny kanal for rapportering av sårbarheter

Sikkerhetsfirma Secunia ønsker å tilby de som finner sikkerhetshull i programvare en mulighet til å verifisere og rapportere dette til produsentene.

Det nye programmet heter «Secunia Vulnerability Coordination Reward Program» (SVCRP). Dette er resultatet av at Secunia har utført denne tjenesten over lengre tid for personer som forsker på sikkerhet, men da som en uoffisiell tjeneste. Nå har imidlertid pågangen blitt så stor at Secunia føler at det kreves en offisiell håndtering.

De som finner sårbarheter i programvare synes som oftest det å finne sårbarheten og produsere en bevisprøve («Proof of concept»/POC) er det mest givende. Prosessen med rapportering og den videre oppfølgingen blir ofte sett på som et ork. Det er dette Secunia nå tilbyr.

Det finnes flere andre tjenester som tilbyr tjenester av denne typen. Dette er som oftest kommersielle tjenester hvor det betales for påviste sårbarheter. Kravene som stilles til sårbarhetene er i disse tilfellene som oftest høyere og vil som regel resultere i at kunder av tjenesten blir informert før alle andre.

Secunia sin tjeneste tar i mot sårbarheter som ikke oppfyller kravene til de kommersielle tjenestene. De stiller seg også til rådighet for de som ikke ønsker å selge sårbarhetene de finner, men fortsatt ønsker en verifikasjon av tredjepart.

Sårbarheter som rapporteres til Secunia vil ikke bli gjort tilgjengelig tidligere for deres egne kunder. Informasjonen vil bli sluppet til alle kunder og andre interesserte når Secunia slipper en sårbarhetsrapport.

Detaljer om SVCRP kan man finne her: Secunia SVCRP