Noll
Video: Dropbox och Salesforce stärka plattform för integration
Efter att ha insett att säkerhet forskare har drabbats av “decennier av övergrepp, hot och mobbning,” Dropbox på onsdagen meddelade det har uppdaterat sin sårbarhet informationspolicy (VDP).
Syftar till att göra sin politik “best-of-breed,” Dropbox sa att det är att göra texten till sin VDP ett fritt copyable mall.
“Vi har gjort detta för att vi vill se andra ta ett liknande tillvägagångssätt,” Dropbox säkerhetschef Chris Evans skrev i ett blogginlägg. “Vi värdesätter öppen säkerhet forskarsamhället och har vidtagit åtgärder för att skydda forskare. Vi förväntar oss att alla företag som har säkerhet som en prioritering kommer att göra samma sak.”
Evans skrev att Dropbox var motiverad att uppdatera sin politik genom “den senaste tidens händelser och diskussioner.” Han pekade på den senaste tidens rapportering från ZDNet, om en stämning inlämnad av password manager är ett program tekokare Keeper. Keeper stämde publikation Ars Technica och dess säkerhet redaktör Dan Goodin efter en berättelse postades rapportering en sårbarhet utlämnande. Stämningen var till stor del fördömde med säkerhet experter och forskare.
Läs Mer: säkerhetsföretaget Keeper stämmer nyheter reporter över sårbarhet historia
Följande utveckling, sade Evans, Dropbox insåg att alltför få företag “formellt att åta sig” att avstå från övergrepp mot säkerhet forskare. Han anges särskilda former av övergrepp som bör komma till ett slut, inklusive hot om rättsliga åtgärder och olämpligt remiss till myndigheter, offentlig karaktär attacker, lagar mot god tro säkerhet forskning och bränning forskare.
Evans har lagt ut åtta delar av den uppdaterade Dropbox, VDP:
- Ett tydligt uttalande som yttre säkerhet forskning är välkomna.Ett löfte om att inte inleda rättsliga åtgärder för säkerhet forskning som bedrivs i enlighet med den policy, inklusive god tro, oavsiktliga kränkningar.Ett tydligt uttalande om att vi överväga åtgärder som överensstämmer med den policy som utgör “auktoriserad” beteende enligt Computer Fraud and Abuse Act (CFAA).Ett löfte om att vi inte kommer att få en Digital Millennium Copyright Act (DCMA) åtgärder mot en forskare för forskning i linje med den politik.Ett löfte om att om tredje part inleder rättsliga åtgärder, Dropbox kommer att göra det tydligt när en forskare agerar i enlighet med den politiska (och därför godkänts av oss).En särskild observera att vi inte förhandla om belöningar under tvång. (Om du hittar något, berätta genast med några villkor.)Specifika instruktioner om vad en forskare bör göra om de misstag stöter på uppgifter som inte hör till själva.En begäran om att ge oss en rimlig tid för att åtgärda problemet innan du gör det offentligt. Vi behöver inte, och bör inte, förbehåller oss rätten att ta evigheter att fixa ett säkerhetsproblem.
Dessutom, Evans konstaterade, Dropbox inte porten forskare intresserad av att publicera sårbarhet detaljer. “Med hjälp av politiska eller bug bounty betalningar till nospartiet eller komminister vetenskaplig publikation skulle vara fel,” skrev han.
Mer säkerhet nyheter
Google Android Security report 2017: Vi läsa den så att du don ‘ t har till
Ännu en gång, Google luras serverar bluff Amazon annonser
Hackare använder en Flash fel i falska dokument i denna nya spioneri kampanj
USA slår nya sanktioner mot Ryssland över NotPetya cyberattack, val inblandning
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0