Índice:
- Definição - O que significa Divulgação de Vulnerabilidade?
- Techopedia explica divulgação de vulnerabilidades
Definição - O que significa Divulgação de Vulnerabilidade?
A divulgação de vulnerabilidades é uma política praticada por organizações e indivíduos quanto à divulgação ou publicação de informações sobre vulnerabilidades e explorações de segurança pertencentes a um sistema, rede ou software de computador. Isso se deve ao fato de hackers éticos e especialistas em segurança de computadores acreditarem que é sua responsabilidade social conscientizar o público em geral sobre vulnerabilidades que possam impactá-las; caso contrário, o silêncio pode levar a um falso sentimento de segurança e fazer com que as pessoas sejam complacentes., levando a outros riscos.
A divulgação de vulnerabilidades também é conhecida como divulgação completa de vulnerabilidades ou simplesmente divulgação completa.
Techopedia explica divulgação de vulnerabilidades
A divulgação de vulnerabilidades é a prática de publicar os detalhes de uma vulnerabilidade de segurança ao público em geral para análise e forçar os fornecedores de software e hardware a corrigir esses problemas rapidamente. Antes das divulgações de vulnerabilidades, os fornecedores de software e hardware confiavam na segurança do sigilo, ou seja, esperavam que quaisquer vulnerabilidades que tivessem não fossem descobertas e exploradas por hackers. No entanto, os hackers provaram repetidamente que, se existir uma vulnerabilidade, eles provavelmente a descobrirão mais cedo ou mais tarde.
Antes de a divulgação de vulnerabilidades se tornar uma prática comum, os pesquisadores de segurança que relatavam vulnerabilidades que eles encontravam eram frequentemente ignorados e alguns até ameaçavam com processos judiciais se as vulnerabilidades fossem conhecidas. Algumas empresas até trataram essas vulnerabilidades como "teóricas" até que um hacker habilidoso as encontrasse e as explorasse; nesse momento, a empresa teria que desenvolver rapidamente um patch e depois pedir desculpas aos seus clientes. É por isso que um grupo de empresas e pesquisadores de segurança se reuniram para formar "divulgação de responsabilidades", que contava com a ameaça de publicar a vulnerabilidade para fazer a empresa em questão fazer algo a respeito.
O processo para a divulgação de vulnerabilidades é iniciado quando uma vulnerabilidade é descoberta em um sistema de computador ou hardware. A pessoa que o descobriu informa a empresa com detalhes da vulnerabilidade para que eles possam agir. Após 45 dias, independentemente de a empresa ter lançado um patch ou não, a vulnerabilidade é divulgada publicamente.