«Код безопасности»: политика ответственного разглашения
Компания «Код безопасности» объявила о старте программы, направленной на взаимодействие с исследователями в области защиты информации. «Политика ответственного разглашения» (Responsible disclosure policy) призвана установить порядок действий разработчика и внешних ИБ-специалистов при обнаружении уязвимости в любом продукте «Кода безопасности».
Подход, когда исследователь при обнаружении уязвимости уведомляет о ней только производителя ПО, позволяет разработчику защитить пользователей и выпустить исправления раньше, чем уязвимость начнет массово использоваться злоумышленниками. Результатом регламентированного взаимодействия разработчика и внешнего ИБ-специалиста становится более быстрое реагирование компании на инциденты, повышение качества продуктов и в конечном счете уровня защищенности заказчиков.
Для «Кода безопасности» привлечение пользователей и исследователей к тестированию продуктов на этапе запуска бета-версии – это стандартная практика. Пример такого взаимодействия –бета-тестирование продукта для защиты рабочих станций и серверов Secret Net Studio: за три месяца познакомиться с его возможностями смогли более 800 специалистов, их пожелания и комментарии были учтены при доработке продукта. Одним из результатов стало своевременное обнаружение и устранение уязвимости в продукте, благодаря чему в финальной версии Secret Net Studio проблема была исправлена.
Как подчеркивают в компании, раннее обнаружение уязвимости выгодно и заказчику, и разработчику: это позволяет скорректировать жизненный цикл продукта, быстро отреагировать на инцидент. Регулирование отношений между компанией и независимыми экспертами и организациями в области информационной безопасности укрепляет взаимодействие как с ИБ-сообществом, так и с регуляторами, по этому пути идут и многие иностранные производители.