Security: la divulgazione coordinata delle vulnerabilità è un bene per tutti
Wysopal (Veracode): una solida politica di divulgazione rappresenta un elemento chiave indispensabile della strategia di sicurezza di un'organizzazione e consente ai ricercatori di lavorare con l'azienda stessa per ridurne l'esposizione
Divulgare o non divulgare le vulnerabilità software? È un tema di stretta attualità che in passato ha trovato molti esperti schierati su fronti diversi. Per fare ulteriore chiarezza, Veracode, fornitore leader di test per la sicurezza delle applicazioni (AST), ha rilasciato i risultati di uno studio globale sul tema della divulgazione delle vulnerabilità software, denominato "Exploring Coordinated Disclosure", che ha analizzato comportamenti, politiche e aspettative associate alle modalità in cui organizzazioni e ricercatori di sicurezza esterni collaborano in caso di identificazione di vulnerabilità .

Dallo studio emerge che oggi le aziende di software e i ricercatori di sicurezza sono quasi universalmente d'accordo nel pensare che rivelare le vulnerabilità per migliorare la sicurezza software rappresenti un vantaggio per tutti. Il 90% dei rispondenti, infatti, ha confermato che la divulgazione di vulnerabilità "ha universalmente lo scopo più ampio di migliorare il modo in cui il software viene sviluppato, utilizzato e corretto". Riconoscere che le vulnerabilità non affrontate determinino l'enorme rischio di conseguenze negative per gli interessi di imprese, consumatori e persino per la stabilità economica globale, rappresenta un punto di svolta nell'industria software.
"L'allineamento che lo studio rivela è molto positivo", ha affermato Chris Wysopal, Chief Technology Officer and co-founder di Veracode. "La sfida, tuttavia, è che le politiche di divulgazione delle vulnerabilità sono estremamente incoerenti. Se i ricercatori non sono sicuri di come procedere quando rilevano una vulnerabilità , le organizzazioni rimangono esposte a minacce della sicurezza, dando ai criminali la possibilità di sfruttare queste vulnerabilità . Sebbene oggi disponiamo di strumenti e processi per trovare e ridurre il numero di bug nel software durante il processo di sviluppo ogni giorno vengono scoperte nuove vulnerabilità .
BusinessCommunity.it - Supplemento a G.C. e t. - Reg. Trib. Milano n. 431 del 19/7/97
Dir. Responsabile Gigi Beltrame - Dir. Editoriale Claudio Gandolfo