Перейти к содержанию
Викторина по домашним продуктам "Лаборатории Касперского"

Как выяснить что программное обеспечение достойно рынка продаж

Andrey_D

Автор Andrey_D,
в Задай вопрос Евгению Касперскому!

 Share Подписчики 2

Рекомендуемые сообщения

Fasawe

Fasawe 54

Опубликовано
Опубликовано (изменено)
Человек способный найти уязвимость как правило представляет как и почему она есть и имеет представление о способе устранения. Если это тупо поправить две строчки кода то и срок исправления несколько дней. Если же вендор просит на это 4 месяца, значит надо их подстегнуть публикацией.

Если бы всё было так, то следующим Вашим шагом было бы:

"Заплатите мне, а я покажу Вам на уязвимость..."

Как Вы думаете, понравилось бы это вендору? :)))

 

Я за ограничение обнародования "дыр" в СМИ на правовом уровне до истечения определенного срока,

когда это станет не актуальным. Именно благодаря СМИ мир и хакеры узнают про обнаруженные уязвимости.

Изменено пользователем Fasawe
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Kapral

Kapral 1 322

Опубликовано
Опубликовано
Если это тупо поправить две строчки кода то и срок исправления несколько дней.

Пользователь может видеть эти строчки? и оценить сколько времени надо?

Пусть тогда устраивается на работу - есть подозрение что примут его с радостью :)

 

 

Если же вендор просит на это 4 месяца, значит надо их подстегнуть публикацией.

Ясно.... не сошлись в сроках....

А если для исправления надо переделать всю инфраструктуру, весь софт и все билды.?

 

Если он не может отказаться от устаревшего и неподдерживаемого софта, то вся ответственность за уязвимости на нем.

Это была крайняя ситуация... А если для исправления в масштабах .... - требуется время?

Ссылка на сообщение
Поделиться на другие сайты
Nesser

Nesser 923

Опубликовано
Опубликовано
Ясно.... не сошлись в сроках....

А если для исправления надо переделать всю инфраструктуру, весь софт и все билды.?

Если обнаруживший адекватен, как и представители вендора, то они всегда найдут общий язык. Если нет, то бесполезно разговаривать. Нашедший все равно опубликует.

 

И все же не сторонник я полного сокрытия, не сторонник.

Ссылка на сообщение
Поделиться на другие сайты
Kapral

Kapral 1 322

Опубликовано
Опубликовано

Причем тут адекватен или нет

Достаточно что нашедший думает что для решения проблемы надо меньше времени чем реально нужно

Ссылка на сообщение
Поделиться на другие сайты
Nesser

Nesser 923

Опубликовано
Опубликовано
Причем тут адекватен или нет

Достаточно что нашедший думает что для решения проблемы надо меньше времени чем реально нужно

Чтобы думать, надо знать ответ производителя.

Но вопрос не в том, что тот кто захочет тот выложит. А в том чтоб не делать больших тайн о дырах в софте. Секретить все по возможности не менее плохо, чем не секретить вообще.

Ссылка на сообщение
Поделиться на другие сайты
Xenon

Xenon 720

Опубликовано
Опубликовано
Если бы всё было так, то следующим Вашим шагом было бы:

"Заплатите мне, а я покажу Вам на уязвимость..."

Как Вы думаете, понравилось бы это вендору? :())

Ну не до такой степени же, в пределах разумного.

Я предполагаю, что "находчивому" юзеру от вендора по-любому должны быть какие-то бонусы! За сотрудничество! :)

Тогда и смысла не будет "находчивому" трубить на весь мир :(

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем
×
×
  • Создать...