Допустим, я знаю об уязвимости какого-то продукта или сервиса. Предположим, я уже пытался связаться с его разработчиками, но пока безуспешно: они либо не видят моё сообщение в тоннах фидбека, либо просто его игнорируют. Могу ли я опубликовать подробности найденной уязвимости и рассказать о ней всему миру? Насколько уместна публикация подробностей пока незакрытых уязвимостей? Вопрос, казалось бы, довольно простой, но всё не так просто! С одной стороны, публикуя подробности уязвимостей, мы привлекаем внимание разработчиков, докричаться до которых обычно не так просто...
Технические службы российских разработчиков ПО регулярно нарушают требования по срокам устранения уязвимостей в своих программах. Об этом сообщили в Федеральной службе по техническому и экспортному контролю (ФСТЭК). «Службы технической поддержки российских вендоров должны реагировать молниеносно на требования заказчиков, но все чаще и чаще возникает ситуация, когда обратной связи по средствам защиты недостаточно. Практика показывает недостаточную эффективность поддержки ПО», — передают «Ведомости» заключение ФСТЭК по обслуживанию отечественного ПО...