Компания Microsoft высказала жесткую позицию в поддержку Координированного раскрытия уязвимостей (CVD), призывая исследовательское сообщество делиться своими находками и предоставлять затронутым поставщикам возможность лучше понять последствия уязвимостей и устранить их до публичного раскрытия. Это заявление сделано после того, как исследователь под псевдонимом Chaotic Eclipse (также известный как Nightmare-Eclipse) раскрыл детали нескольких нулевых уязвимостей.

Ситуация обострилась после удаления аккаунта Chaotic Eclipse на платформе GitHub, что вызвало широкий резонанс в сообществе кибербезопасности. Microsoft отметила, что публичное раскрытие уязвимостей без предварительного уведомления поставщиков может привести к увеличению числа атак и негативным последствиям для пользователей.

Компания подчеркнула важность предварительного уведомления разработчиков программного обеспечения о найденных уязвимостях, чтобы они могли оперативно реагировать и устранять проблемы, прежде чем информация станет доступной широкой публике. Такой подход, по мнению Microsoft, способствует безопасному и ответственному взаимодействию между исследователями и производителями программного обеспечения.

Microsoft также призвала к созданию более прозрачной и конструктивной атмосферы в области кибербезопасности, где исследователи могли бы безопасно делиться своими находками, не опасаясь за свои аккаунты и репутацию. Это заявление стало частью более широкой кампании компании по улучшению взаимодействия между исследовательским сообществом и индустрией.

Тем не менее, многие в сообществе кибербезопасности выражают обеспокоенность по поводу практик, связанных с раскрытием уязвимостей, и важности соблюдения этических норм. Дебаты вокруг этой темы продолжаются, и эксперты призывают к более открытому обсуждению вопросов, касающихся ответственности исследователей и поставщиков программного обеспечения.

Источник новости:
The Hacker News

Читать полностью