جهد جديد مفتوح المصدر: قانون قانوني لجعل الإبلاغ عن الأخطاء الأمنية أكثر أمانا

Disclose.io الشعار تكبير / مشروع Disclose.io: مفتوح مصدر العقود للحفاظ على القراصنة البيض والمطورين خارج مشكلة قانونية

لا يمر أسبوع بدون نشاط تجاري رئيسي أو إنترنت آخر خدمة الإعلان عن خرق البيانات. وبينما العديد من الشركات لديها بدأت في اعتماد برامج الأخطاء باونتي لتشجيع الإبلاغ عن نقاط الضعف من قبل الباحثين الأمن الخارجي ، لقد فعلوا ذلك إلى حد كبير غير متسق. هذا هو السبب وراء Disclose.io ، أ جهد تعاوني ومفتوح المصدر لإنشاء مصدر مفتوح معيار لبحة فضله وبرامج الكشف عن الضعف التي يحمي المتسللين حسن النية.

قراءة متعمقة

حاكم جورجيا يستخدم حق النقض ضد مشروع القانون الذي سيجرم “دخول غير مرخص”

عدم الاتساق في الكشف عن الأخطاء للشركات البرامج – وغياب لغة “الملاذ الآمن” التي تحمي يمكن للمتسللين ذوي النوايا الحسنة من اتخاذ إجراءات قانونية في كثير منهم – تثبيط أي شخص يكتشف خلل أمان عن الإبلاغ عنه. ولغة غامضة في برنامج الكشف لا يمكن أن تثبط فقط التعاون ولكن يمكن أن يؤدي أيضا إلى كوارث العلاقات العامة و تلف السمعة مع مجتمع الأمن ، كما حدث مع صانع الطائرات بدون طيار دي جي في نوفمبر الماضي.

انتقل Dropbox لإصلاح شروط الكشف عن الثغرات الخاصة به كان الدافع لتغيير السياسات القانونية الخاصة بها بعد بعض دعوى قضائية ضد مراسل على الكشف عن الضعف. الشركات التي تدير مكافآت الأخطاء للمؤسسات الكبيرة ، بما في ذلك HackerOne و Bugcrowd ، بذلت جهودهم الخاصة ل اطلب من العملاء توحيد شروط الأمان.

قراءة متعمقة

لمدة 8 أيام عرضت ويندوز مدير كلمة السر المحملة مسبقا مع ضعف البرنامج المساعد

لكن هذه الجهود لم تترجم إلى اعتماد أوسع من أفضل الممارسات – وهذا هو السبب في أن Disclose.io كان شكلت.المشروع له جذوره في اثنين منفصلة ولكن مماثلة الجهود التي يجري إدخالها في Disclose.io. الأول هو #LegalBugBounties ، وهو جهد بدأه أميت إلزاري ، أ مرشح دكتوراه في جامعة كاليفورنيا في بيركلي كلية الحقوق وممول من مركز الجامعة لل الأمن السيبراني طويل الأجل. والثاني هو المصدر المفتوح إطار الكشف عن نقاط الضعف ، وهو جهد بدأ في عام 2016 من قبل Bugcrowd والمحاماة CipherLaw.

وقال كيسي إليس ، مؤسس ومدير قسم التسويق في Bugcrowd ، إن هذا يسمح المتسللين القبعة البيضاء للبحث بنشاط عن نقاط الضعف “يمكن أن يكون مفهوم مخيف للأشخاص الذين يبنون ، تشغيل ، وحماية البرنامج ، ولكن من الضروري التنافس ضد الخصوم التي هناك. التوحيد هو أفضل طريقة لنفي أي رد فعل قانوني أو السمعة في حين لا يزال جذب الأفضل الصيادين إلى البرنامج الخاص بك. ”

وهناك فوائد محتملة أخرى للتوحيد القياسي. في ورقة نشرت في مايو ، أكد Elazari أن “عن طريق التوظيف لغة مرجل موحدة لميناء آمن ، فضل علة تقدم فرصة فريدة للتأثير على المشهد القانوني ل القرصنة البيضاء على نطاق واسع كشكل من أشكال التنظيم الخاص. ”

بسبب ما يصفه Elazari بأنه “مشهد غامض من قوانين مكافحة القرصنة “- مثل قانون الغش والاعتداء على الكمبيوتر و قانون الألفية الجديدة لحقوق طبع ونشر المواد — برامج مكافآت الأخطاء دراسة حالة مثيرة للاهتمام لكيفية العقود يمكن أن تعزز الأمن البحث بدلا من خنقها “.

جهود Elazari و Bugcrowd قد فازت بالفعل جديدة تحويل. وقد استشهد العمل Elazari من قبل المديرين التنفيذيين موزيلا باسم إلهام للتغييرات الأخيرة في برنامج مكافأة موزيلا. و بالنظر إلى كيفية تنظيم ممارسات أمن المعلومات بعض الصناعات – وكيف سيئة التشريعات بشأن أي نوع من تم التعامل مع القرصنة على مدى السنوات القليلة الماضية – باستخدام “فتح” المصدر ، “العقود التي خضعت للمعركة ، لتسريع اعتماد برامج الكشف عن الأخطاء وخطأها قد تكون أسهل بكثير والكثير أقل تكلفة من أي شيء بتكليف من الحكومة الجديدة اللائحة.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: