Nul
Video: Dropbox og Salesforce styrke platform integration
Efter at indse, at sikkerhed forskere, der har været udsat for fra “årtiers misbrug, trusler og mobning,” Dropbox på onsdag meddelte at de har opdateret sin sårbarhed offentliggørelse politik (VDP).
Med sigte på at gøre sin politik “best-of-breed,” Dropbox sagde, at det gør teksten til sin VDP et frit copyable skabelon.
“Vi har gjort dette, fordi vi gerne vil se de andre tage en lignende tilgang,” Dropbox leder af sikkerhed Chris Evans skrev i et blogindlæg. “Vi sætter pris på den åbne sikkerhedsforskning samfund og har taget skridt til at beskytte forskere. Vi forventer, at en virksomhed, som har sikkerhed som en prioritet vil gøre det samme.”
Evans skrev, at Dropbox blev motiveret til at opdatere sin politik ved at “de seneste begivenheder og diskussioner.” Han påpegede også, at de seneste rapportering fra ZDNet, om en retssag indgivet af password manager-software maker Keeper. Keeper sagsøgt offentliggørelse Ars Technica og dets sikkerhed redaktør Dan Goodin efter en historie blev indsendt indberetning af en sårbarhed offentliggørelse. Retssagen blev i vid udstrækning beskrevet af sikkerhed eksperter og forskere.
Læs Mere: vagtselskab Keeper handler news reporter over sårbarhed historie
Efter disse udviklinger, Evans, sagde, at Dropbox indså, at for få virksomheder, der “formelt begå” at afholde sig fra overgreb mod sikkerhed forskere. Han anført specifikke former for misbrug, som bør komme til en ende, herunder juridiske trusler og upassende henvisning til myndigheder, offentlige karakter-angreb, love mod god tro forskning i sikkerhed, og fyring forskere.
Evans er fastlagt otte elementer i den opdaterede Dropbox VDP:
- En klar erklæring om, at den eksterne sikkerhed forskning er velkommen.Et løfte om ikke at anlægge sag for sikkerhed forskning, der er udført i henhold til den politik, herunder god tro, utilsigtede overtrædelser.En klar erklæring om, at vi overveje handlinger er i overensstemmelse med den politik som udtryk for en “autoriseret” adfærd under Computer Fraud and Abuse Act (CFAA).Et løfte om, at vi ikke vil bringe en Digital Millennium Copyright Act (DCMA) aktion mod en forsker for forskning i overensstemmelse med den politik.Et løfte, at hvis en tredje part, der indleder en retssag, Dropbox vil gøre det klart, når en forsker, der handlede i overensstemmelse med den politik, (og derfor er autoriseret af os).Et særligt opmærksom på, at vi ikke forhandle dusører under tvang. (Hvis du finder noget, så fortæl os det samme uden betingelser.)Konkrete anvisninger på, hvad en forsker bør gøre, hvis de uforvarende støder på data, som ikke tilhører dem selv.En anmodning om at give os rimelig tid til at løse et problem, før du foretager det offentlige. Vi gør ikke, og skal ikke, forbeholder os ret til at tage en evighed at lave et sikkerhedsproblem.
Derudover, Evans bemærkes, at Dropbox ikke gate forskere, der er interesserede i at udgive sårbarhed detaljer. “Ved hjælp af politik eller bug bounty betalinger til mule eller kuratere videnskabelig publicering ville være forkert,” skrev han.
Mere sikkerhed nyheder
Google Android Sikkerhed rapport 2017: Vi læser det, så du ikke er nødt til at
Endnu en gang, Google lokket til servering fidus Amazon annoncer
Hackere ved hjælp af en Flash-fejl i falske dokument i denne nye spionage kampagne
USA slår nye sanktioner mod Rusland over NotPetya cyberattack, valg indblanding
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0