취약점 공개에 대한 법적 제한
사이버보안 전문 정보
Kendra Albert는 올해 USENIX Security에서 훌륭한 연설을 하면서 취약성 공개와 관련된 법적 합의가 연구원들에게 총구를 가하는 동시에 기업이 취약성을 수정하지 못하도록 허용한다는 점을 지적했습니다. 이는 2000년대 초반의 책임 있는 공개 운동이 방지해야 했던 것과 정반대입니다. 이것이 이야기입니다. 30년 전, 취약점 공개가 컴퓨터 보안에 좋은지에 대한 논쟁이 격렬했습니다. 한쪽에서는 완전 공개 옹호론자들은 소프트웨어 버그가 수정되지 않으며, 안전하지 않은 소프트웨어를 만든 회사가 공개적으로 언급되지 않으면 수
핵심 특징
고품질
검증된 정보만 제공
빠른 업데이트
실시간 최신 정보
상세 분석
전문가 수준 리뷰
상세 정보
핵심 내용
Kendra Albert는 올해 USENIX Security에서 훌륭한 연설을 하면서 취약성 공개와 관련된 법적 합의가 연구원들에게 총구를 가하는 동시에 기업이 취약성을 수정하지 못하도록 허용한다는 점을 지적했습니다. 이는 2000년대 초반의 책임 있는 공개 운동이 방지해야 했던 것과 정반대입니다. 이것이 이야기입니다. 30년 전, 취약점 공개가 컴퓨터 보안에 좋은지에 대한 논쟁이 격렬했습니다. 한쪽에서는 완전 공개 옹호론자들은 소프트웨어 버그가 수정되지 않으며, 안전하지 않은 소프트웨어를 만든 회사가 공개적으로 언급되지 않으면 수정되지 않을 것이라고 주장했습니다. 반면, 기업들은 패치되지 않은 취약점이 완전히 공개되면 특히 수정하기 어려운 취약점이 악용될 수 있다고 주장했습니다. 블로그 게시물, 공개 토론, 셀 수 없이 많은 메일링 목록 불꽃 전쟁 이후 타협 솔루션이 등장했습니다
상세 분석
. 즉, 공급업체가 문제를 해결하려고 시도할 수 있는 기밀 유지 기간 후에 취약점이 공개되는 조정된 취약점 공개입니다. 비록 완전한 공개가 유행에 뒤떨어졌지만 공개가 성공했고 모호함을 통한 보안이 상실되었습니다. 그 이후로 우리는 행복하게 살았습니다. 아니면 우리가 그랬나요? 유료 버그 보상금을 향한 움직임과 보안 팀을 위한 버그 보상금 프로그램을 관리하는 플랫폼의 등장으로 공개 현실이 크게 바뀌었습니다. 어떤 경우에는 이러한 프로그램을 이용하려면 계약상의 제한 사항에 대한 동의가 필요합니다.
정리
현 상태에서 이는 소프트웨어 회사가 때때로 취약점을 버그 포상금 관리 플랫폼에 퍼뜨린 다음 연구원이 발견한 내용을 공유하는 것을 금지할 수 있는 기밀 유지 계약을 조건으로 제출한다는 것을 의미합니다. 이 강연에서는 관리형 버그 포상금 프로그램에 대한 기밀 유지 요구 사항이 취약점을 보고하려는 사람들이 발견한 내용을 공개적으로 공유하는 능력을 어떻게 제한하여 CVD 프로세스의 중심에서 거래를 타협하는지 설명하겠습니다. 이러한 제한 사항이 언제 어떻게 시행 가능한지에 대해 어떤 계약법이 알려줄 수 있는지 논의할 것이며, 더 중요하게는 그렇지 않은 경우 제출 시 법적 권리를 이해하는 방법에 대해 해커에게 조언을 제공할 것입니다. 마지막으로, 저는 플랫폼과 기업이 비공개를 요구하는 계약을 금지하는 것을 포함하여 원래 합의된 취약성 공개 계약에 더 부합하도록 관행을 조정할 것을 촉구할 것입니다. 그리고 저는 2007년에 “책임 있는 공개”에 대해 이야기하고 있습니다. 이것은 좋은 생각이었고 요즘은 일반적인 절차이지만 완전한 공개가 표준이기 때문에 가능했습니다. 그리고 완전한 공개가 위협이 되는 한 그것은 좋은 생각으로 남아 있습니다.
자주 묻는 질문
Q. 어떤 정보를 제공하나요?
A. 사이버보안 관련 최신 정보를 제공합니다.
Q. 신뢰할 수 있나요?
A. 검증된 출처만 선별합니다.
Q. 더 궁금한 점은?
A. 댓글로 문의하세요.
원문 출처
이 글은 원본 기사를 참고하여 작성되었습니다.