RFC für Veröffentlichung von Sicherheitslücken
Um möglichen Schaden zu minimieren, soll zukünftig ein RFC die Veröffentlichung von Sicherheitslücken regeln. Ein erster Entwurf liegt jetzt vor.
Microsofts Sicherheitsinitiative trägt weitere Früchte. Diese Woche haben Steve Christey von MITRE und Chris Wysopal von @stake einen ersten Entwurf (Draft) für einen RFC zur verantwortungsbewussten Veröffentlichung von Sicherheitslücken ("Responsible Vulnerability Disclosure Process") publiziert. Das Dokument ist im Jargon der technischen Funktions- und Protokollbeschreibungen gehalten, die man normalerweise in RFCs findet, und strotzt von Formulierungen wie "The Reporter SHOULD make a reasonable effort" und "The Vendor MUST provide".
Den zentralen Punkt des Entwurfs stellt die Festlegung dar, dass der Entdecker einer Sicherheitslücke zunächst den Hersteller des Produkts benachrichtigt. Dieser muss ihm innerhalb von sieben Tagen den Erhalt der Meldung bestätigen und ihn regelmäßig über den Status seiner diesbezüglichen Aktivitäten informieren. Dem Hersteller ist eine Frist von 30 Tagen einzuräumen, um Abhilfe zu schaffen. Erst danach veröffentlichen Hersteller und/oder Entdecker Informationen zu dem Sicherheitsproblem. Gelingt es dem Hersteller innerhalb dieses Zeitraums nicht, das Problem zu beseitigen, kann er den Entdecker um eine weitere 30-Tage-Frist bitten, muss dies aber begründen.
Interessant ist, dass der Entwurf optional eine dritte Partei in diesem Prozess vorsieht, den so genannten "Coordinator". Dieser soll eine Art Vermittler- und Schlichterrolle zwischen Hersteller und Entdecker eines Sicherheitsproblems einnehmen, Missverständnisse aufklären oder bei der Klärung technischer Fragen behilflich sein. (ju)
