あなたはまだ脆弱ですか? その後、あなたは6ヶ月があります
HP TippingPointのコンピューターセキュリティファイターは、製造元に通知されてから6か月後にソフトウェアの脆弱性を公開します。 この措置により、ベンダーは自社製品の安全性にもっと注意を払うようになります。
3Comの買収により、HP はネットワークインフラストラクチャ向けに全製品を集中させることができました。 しかし、それに加えて、 HP TippingPoint部門の非常に興味深い人々が私たちのランクに登場しました。彼らは、コンピューターネットワークのセキュリティ(Gartnerによる)のために、市場で他の誰よりも4年以上連続で成功しています。
これらの人々の興味深い作品の1つは、Zipping Day Initiative (ZDI)プログラムです。このプログラムでは、TippingPointがサードパーティの専門家から脆弱性を購入します。 GoogleとMozillaは、ブラウザで見つかった脆弱性の代金を支払います-今では誰もが知っています。 しかし、ZDIはこれを5年間続けています。ここで、任意のソフトウェアの脆弱性を「販売」し、累積ボーナスプログラムに参加し、その結果、非常に深刻なお金を稼ぐことができます。
ZDIプログラムとTippingPoint自体の規模により、現在の脆弱性の最新のデータベースを含めることができます。 また、ネットワークセキュリティの分野で活動する他の多くの企業とは異なり、TippingPointは有償の顧客だけでなく、対応するソフトウェアのメーカーに見つかったすべての欠陥を報告しました。 製造業者は、バグの修正に必要な時間を順番に設定します。
「一般に、この戦略はベンダーと私たちの両方、そしてもちろんお客様にとってもうまくいきました」と、TippingPointの調査チームの責任者であるアーロン・ポートノイは言います。 しかし、時間の経過とともに、新しい脆弱性を検出する速度は向上し、ベンダーがそれらの脆弱性に反応する速度は一定のままです。 TippingPointは、1年以上前にZDIの参加者によって発見された31の重大な脆弱性に関する情報を公開する準備ができました。 したがって、エンドユーザーは非常に長い間保護されないままです。
この状況を改善するために、TippingPointは、ZDIで発見されてベンダーに通知されてから6か月後に脆弱性を公開します。 この期間の後、ソフトウェアメーカーがTippingPointレポートに応答しないか、脆弱性を修正できない場合は、セキュリティ対策を強化する必要がある場所をユーザーに通知する簡単なレポートが公開されます。
もちろん、ソフトウェアメーカーがバグを修正するのにもっと時間が必要で、彼がTippingPointにバグを伝えた場合、期限は変更されます。 しかし、この場合、穴が閉じられるとすぐに、TippingPointはベンダーとの通信の内容を公開します。 「私たちのプロセスにおけるこのレベルの透明性が、ベンダーが直面している問題を一般市民がよりよく理解できるようになることを願っています」と Portnoy は彼のブログに書いています。
3Comの買収により、HP はネットワークインフラストラクチャ向けに全製品を集中させることができました。 しかし、それに加えて、 HP TippingPoint部門の非常に興味深い人々が私たちのランクに登場しました。彼らは、コンピューターネットワークのセキュリティ(Gartnerによる)のために、市場で他の誰よりも4年以上連続で成功しています。
これらの人々の興味深い作品の1つは、Zipping Day Initiative (ZDI)プログラムです。このプログラムでは、TippingPointがサードパーティの専門家から脆弱性を購入します。 GoogleとMozillaは、ブラウザで見つかった脆弱性の代金を支払います-今では誰もが知っています。 しかし、ZDIはこれを5年間続けています。ここで、任意のソフトウェアの脆弱性を「販売」し、累積ボーナスプログラムに参加し、その結果、非常に深刻なお金を稼ぐことができます。
ZDIプログラムとTippingPoint自体の規模により、現在の脆弱性の最新のデータベースを含めることができます。 また、ネットワークセキュリティの分野で活動する他の多くの企業とは異なり、TippingPointは有償の顧客だけでなく、対応するソフトウェアのメーカーに見つかったすべての欠陥を報告しました。 製造業者は、バグの修正に必要な時間を順番に設定します。
「一般に、この戦略はベンダーと私たちの両方、そしてもちろんお客様にとってもうまくいきました」と、TippingPointの調査チームの責任者であるアーロン・ポートノイは言います。 しかし、時間の経過とともに、新しい脆弱性を検出する速度は向上し、ベンダーがそれらの脆弱性に反応する速度は一定のままです。 TippingPointは、1年以上前にZDIの参加者によって発見された31の重大な脆弱性に関する情報を公開する準備ができました。 したがって、エンドユーザーは非常に長い間保護されないままです。
この状況を改善するために、TippingPointは、ZDIで発見されてベンダーに通知されてから6か月後に脆弱性を公開します。 この期間の後、ソフトウェアメーカーがTippingPointレポートに応答しないか、脆弱性を修正できない場合は、セキュリティ対策を強化する必要がある場所をユーザーに通知する簡単なレポートが公開されます。
もちろん、ソフトウェアメーカーがバグを修正するのにもっと時間が必要で、彼がTippingPointにバグを伝えた場合、期限は変更されます。 しかし、この場合、穴が閉じられるとすぐに、TippingPointはベンダーとの通信の内容を公開します。 「私たちのプロセスにおけるこのレベルの透明性が、ベンダーが直面している問題を一般市民がよりよく理解できるようになることを願っています」と Portnoy は彼のブログに書いています。
All Articles