Nul
Video: Dropbox en Salesforce te versterken platform integratie
Na het realiseren dat de beveiliging onderzoekers hebben last van “tientallen jaren van misbruik, bedreigingen en pesterijen,” Dropbox op woensdag aangekondigd dat het bijgewerkt zijn van de kwetsbaarheid openbaarmaking beleid (VDP).
Gericht op het maken van haar beleid “best-of-breed”,” Dropbox gezegd is het maken van de tekst van de VDP een vrij kopieerbaar sjabloon.
“Wij hebben dit gedaan omdat we graag zien dat anderen met een vergelijkbare aanpak,” Dropbox hoofd van de beveiliging Chris Evans schreef in een blog post. “Wij waarderen de open security research community en hebben maatregelen genomen ter bescherming van de onderzoekers. Wij verwachten van een onderneming die heeft veiligheid als een prioriteit zal hetzelfde doen.”
Evans schreef dat Dropbox was gemotiveerd om een update van zijn beleid door “de recente gebeurtenissen en discussies.” Hij wees op de recente rapportage van ZDNet, met betrekking tot een rechtszaak aangespannen door de password manager software maker Keeper. Keeper opgeroepen de publicatie Ars Technica en de beveiligingseditor Dan Goodin na een verhaal is geplaatst melding van een beveiligingsprobleem openbaarmaking. De rechtszaak werd grotendeels afgewezen door security experts en onderzoekers.
Lees Meer: beveiligingsbedrijf Keeper klaagt journalist over kwetsbaarheid verhaal
Na die ontwikkelingen, Evans zei, Dropbox besefte dat er te weinig bedrijven “formeel vastleggen” te onthouden van geweld tegen de onderzoekers van de veiligheid. Hij maakte een lijst van specifieke vormen van misbruik dat moet tot een einde komen, met inbegrip van juridische bedreigingen en ongepast verwijzing naar instanties, openbare karakter aanvallen, wetten tegen te goeder trouw security-onderzoek, en het afvuren van de onderzoekers.
Evans legde uit acht elementen van het geactualiseerde Dropbox VDP:
- Een duidelijke verklaring dat de externe veiligheid onderzoek wordt toegejuicht.Een belofte om geen gerechtelijke stappen te ondernemen voor de veiligheid onderzoek in het kader van het beleid, met inbegrip van de goede trouw, onopzettelijke overtredingen.Een duidelijke verklaring dat we overwegen acties die consistent is met het beleid zoals die “erkende” gedrag onder de Computer Fraud and Abuse Act (CFAA).Een belofte die we niet meenemen van een Digital Millennium Copyright Act (DCMA) actie tegen een onderzoeker voor onderzoek in overeenstemming met het beleid.Een pand dat als een derde partij initieert juridische actie, Dropbox maakt het duidelijk wanneer een onderzoeker handelt in overeenstemming met het beleid (en dus bevoegd om de door ons).Een specifieke opmerking dat we niet onderhandelen gaven onder dwang. (Als je iets vindt, vertel het ons onmiddellijk met geen voorwaarden aan verbonden.)Specifieke instructies over wat een onderzoeker moeten doen als ze per ongeluk gegevens tegenkomen die niet aan zichzelf.Een verzoek aan ons door te geven redelijke termijn een probleem op te lossen voordat het openbaar te maken. We doen het niet, en moet niet behouden ons het recht voor om voor altijd op te lossen met een beveiligings probleem.
Bovendien, Evans merkte, Dropbox niet gate onderzoekers die geïnteresseerd zijn in het publiceren van kwetsbaarheid details. “Met behulp van beleid of bug bounty betalingen aan de snuit of pastoor wetenschappelijke publicatie zou verkeerd zijn,” schreef hij.
Meer nieuws over beveiliging
Google Android Security report 2017: We lezen, zodat u niet hoeft te
Nogmaals, Google misleid in het dienen van zwendel Amazon advertenties
Hackers gebruik van een Flash fout in nep-document in dit nieuwe spionage campagne
ONS slaat nieuwe sancties tegen Rusland over NotPetya cyberaanval, verkiezing bemoeizuchtige
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0