El debate continua: full disclousure v.s none disclousure
19 julio 2008 
1 Comentario
En el reciente debate donde Linus argumentaba su desacuerdo con el manejo de los bugs en el kernel de Linux, también ha dejado claro cual es la política de manejo de los mismos. Linus dice que para el, los bugs de seguridad son bugs a fin de cuentas y deben ser tratados como los demás bugs, el no espera lanzar un HOWTO de como explotarlos cada vez que se encuentra algún bug.
Esto solo perjudica a los mil vendedores que simplemente copian los advisories de los demás sitios para enaltecer aun mas el circo de la seguridad informática, como lo denomina Torvalds, pero no influye en nada para las personas que se dedican a encontrar y explotar bugs en el kernel y demás.
Así que, ¿como debería manejarse este tipo de información?, ¿debería ser full disclousure? Yo pienso que no, que técnicamente Linus tiene razón y se debería manejar como un bug más, sin tanta parafernalia ni teatros.
¿Que piensan ustedes?
Si te ha gustado el post, compartelo y ayudanos a crecer.
También puede interesarte...
Estoy de acuero con full disclosure.
“La seguridad por ocultamiento no es SEGURIDAD”.
Si sabemos cuales son las fallas podemos buscar una solución o por lo menos evaluar el riesgo para saber cual es el impacto de continuar asi, peor si no sabemos seguimos construyendo castillos de arena y rogando por que la marea no suba.
JSLL