NSS Labs geeft impuls aan discussie over nieuwe 'vulnerabilities'

NSS Labs heeft onder de naam 'The Known Unknowns; Empirical Analysis of Publicly Unknow Security Vulnerabilities' een document gepubliceerd waarin  een impuls wordt gegeven aan de discussie over de vraag wanneer een fout in een software-programma die tot onbevoegd gebruik kan leiden moet worden gepubliceerd. 

In het rapport stellen de onderzoekers: 'Over the past few years, software vendors and security researchers have vigorouslydebated the social desirability of disclosing vulnerability information. While making the information public will allow all affected parties to assess the risk and take remediating action, the information will also become available to attackers for misuse. The belief  that electing to keep vulnerability information private is keeping it from attackers is valid only under the  assumption that potential attackers have not yet discovered or otherwise obtained access to this information.' 

Bovendien gaat het hier nu niet direct om een nieuwe discussie, stelt NSS Labs: 'This “disclosure debate,” which is the debate over whether or not to divulge security information, is controversial,  but it is not new; it has been an issue for locksmiths since the 19th century.' 

In het zeer lezenswaardige document zet NSS Labs de voor- en nadelen van snel of juist laat publiceren op een rij. Ook gaat men in op het effect van de zogeheten 'vulnerability puchasing programs' die een aantal security-bedrijven hebben opgezet.