В Facebook представили «Политику раскрытия уязвимостей», согласно которой сторонним разработчикам будет дано 90 дней на устранение обнаруженных уязвимостей, иначе о них будет рассказано общественности.
Сотрудники Facebook управляют одним из крупнейших портфелей программного обеспечения в мире с сотнями приложений и миллиардами строк кода, которые предоставляют широкий спектр услуг пользователям по всему миру. Но большая часть приложений Facebook поддерживается небольшими библиотеками, которыми были разработаны сторонними компаниями.
В течение последних нескольких лет сотрудники Facebook часто обнаруживали уязвимости в этих сторонних компонентах, о которых служба безопасности компании всегда сообщала разработчикам. Некоторые разработчики библиотек исправляют ошибки в течение нескольких дней после уведомления, в то время как в других случаях Facebook приходилось самостоятельно исправлять код или разрабатывать собственные альтернативы.
Facebook не считает, что это должно быть нормой, поскольку это несправедливо по отношению к другим пользователям этих сторонних библиотек, большинство из которых будут продолжать использовать непропатченный код. Один из способов решения проблем раскрытия информации в Facebook – новая политика, которую компания намеревается применять с сегодняшнего дня.
Facebook сообщает, что предоставит разработчику подробный технический отчет с описанием ошибки:
- если компания/разработчик не подтвердит получение отчета в течение 21 дня, сотрудники Facebook публично раскроют подробности ошибки в Интернете, чтобы другие пользователи/разработчики смогли защитить свои разработки;
- если компания/разработчик подтвердит получение отчета в течение 21 дня, то у них будет 90 дней для исправления проблем, что является неофициальным стандартным сроком в сообществе программного обеспечения, который охотники за ошибками предоставляют компаниям для исправления проблем безопасности.
Единственная ситуация, при которой Facebook сразу выложит в открытый доступ информацию об обнаруженной уязвимости – это когда проблема в приложении активно используется киберпреступниками. Однако не все 0-day уязвимости будут раскрыты сразу, а только в тех случаях, когда раскрытие ошибки помогает пользователям оставаться в безопасности.
