Endüstri 90 günlük güvenlik açığı ifşa standardından uzaklaşıyor
Güvenlik araştırmacıları, yazılım hatalarını satıcılara bildirmek için kullanılan uzun süredir devam eden protokolün etkinliğini sorguluyor.
ℹ️ Tarayıcı tabanlı sesli okuma · yapay zeka stüdyo sesi yakında
Teknoloji endüstrisi, yazılım güvenlik açıklarını satıcılara kamuya açıklanmadan önce bildirmek için standart bir uygulama olan 90 günlük güvenlik açığı ifşa politikasından uzaklaşıyor. Bu yönelim, Hacker News'teki tartışmalara göre gözlemlenmektedir.
90 günlük süre—onlarca yıl önce belirlenmiş—geçmişte şirketlere yamalar geliştirme zamanı verirken, araştırmacılara sınırsız gecikmeler önlemek için bir son tarih sağlamıştır. Ancak eleştirmenler, bu zaman diliminin artık modern yazılım geliştirme döngülerini veya tehdit ortamını yansıtmadığını savunuyorlar.
Avrupa siber güvenlik yetkilileri ve işletmeleri, ifşa uygulamalarını yakından izlemektedir, çünkü bunlar AB'nin genişleyen dijital altyapısı genelinde olay yanıt yeteneklerini etkilemektedir. Bu değişim, kuruluşların güvenlik planlaması için güvendikleri koordine edilmiş güvenlik açığı yönetim çerçevelerinde potansiyel değişikliklere işaret etmektedir.
Hiçbir resmi düzenleyici kurum politika değişikliği açıklamadığı halde, tartışma ifşa standartları üzerindeki artan baskıyı yansıtmaktadır. AB üye devletleri, öngörülebilir güvenlik açığı bildirimi zaman dilimlerine bağlı olan siber güvenlik stratejilerini geliştirmeyi sürdürmektedir. Revize edilmiş ifşa protokolleri hakkında endüstri fikir birliği belirsiz kalmaktadır.