Facebook будет предупреждать сторонних разработчиков об уязвимостях в коде

Facebook объявил о изменении собственной политики, согласно которой компания будет уведомлять посторониих разрабов, если увидит уязвимость сохранности в их коде. Facebook признался, что «время от времени может обнаруживать» критичные ошибки и уязвимости в постороннем коде и системах, докладывает TechCrunch.

Ранее компания уведомляла посторониих разрабов о уязвимостях, но изменение политики формально кодифицирует политику компании в отношении раскрытия и выявления уязвимостей сохранности.

Программки раскрытия уязвимостей, либо VDP, разрешают компаниям устанавливать правила взаимодействия для поиска и раскрытия ошибок сохранности. VDP также помогают открывать и публиковать уязвимости опосля исправления ошибки. компании нередко употребляют вознаграждение за обнаружение ошибок, чтоб платить взломщикам, которые соблюдают правила компании в отношении отчетности и раскрытия инфы.

Изменение политики не совершенно альтруистично. Facebook, как и почти все остальные технологические компании, полагается на массу постороннего кода и библиотек с открытым начальным кодом. Но внесение конфигураций в письменной форме также предупреждает посторониих разрабов, если они не исправят уязвимости вовремя.

Кейси Эллис, основоположник и технический директор платформы для обнаружения уязвимостей Bugcrowd, произнес, что изменение политики становится все наиболее пользующимся популярностью для компаний с «большенный, направленной на юзера посторонней поверхностью атаки», и повторяет подобные деяния Atlassian, Гугл и Microsoft. .

Facebook заявил, что при обнаружении уязвимости посторонним разрабам будет предоставлен 21 денек на ответ и 90 дней на устранение заморочек — принятые сроки для сообщения и устранения заморочек с сохранностью. Компания заявляет, что приложит разумные усилия, чтоб отыскать пригодного контакта для сообщения о уязвимости, включая, кроме остального, отправку сообщений электрической почты с отчетами о сохранности, регистрацию ошибок без секретной инфы в средствах отслеживания ошибок либо наполнение заявок в службу саппорта. Но компания заявила, что оставляет за собой Право сказать ранее, если уязвимость интенсивно употребляется взломщиками, либо отложить ее раскрытие, если она согласна с тем, что для устранения задачи требуется больше времени.

В новейшей политике особенное внимание уделяется тому, как Facebook обрабатывает раскрытие заморочек в постороннем коде. Если исследователи найдут уязвимость сохранности в Facebook либо в его семействе приложений, они продолжат докладывать о этом в рамках имеющейся программки Bug Bounty.

Читать также

Нимб Андромеды приближается к нашей галактике. Рассказываем, почему это принципиально

нередкое проявление какого-нибудь внимание?

Поглядите на самые близкие снимки поверхности Солнца

Источник