MS nie popiera płacenia za dziury?

20 lutego 2006 0 przez Piotr Bulski

Microsoftowi nie bardzo spodobała się inicjatywa firmy iDefense, oferującej w tym kwartale odkrywcom dziur w oprogramowaniu Windows nagrody pieniężne. iDefense za każdą „krytyczną” dziurę, która później znajdzie się w biuletynie bezpieczeństwa MS chce płacić jej odkrywcy 10 tys. dolarów (to część programu VCP, Vulnerability Contributor Program). Przedstawiciele Microsoftu w dzień po ogłoszeniu nowej akcji iDefense stwierdzili, iż oferowanie zapłaty za dziury w oprogramowaniu nie jest najlepszym sposobem na zabezpieczenie go.

Najlepszym sposobem ochrony użytkowników jest, jak pisze za Microsoftem serwis eWeek, tzw. „responsible disclosure” (w wolnym tłumaczeniu „odpowiedzialne ujawnienie”), dzięki któremu może być zapewnione, iż zabezpieczające uaktualnienie oprogramowania będzie dostępne tego samego dnia, kiedy wada programu stanie się szerzej znana.

Przedstawiciele iDefense zauważają pewną niekonsekwencję w działaniach Microsoftu. O ile firma była gotowa oferować za pochwycenie autora wirusa nawet ćwierć miliona dolarów, to nie jest chętna pomysłowi płacenia za informacje, które mogą zapobiec rozprzestrzenianiu się wirusów.