Facebook untuk memberi amaran kepada pembangun pihak ketiga mengenai kod rentan

Facebook telah mengumumkan perubahan dasar yang akan menyaksikan syarikat itu memberitahu pemaju pihak ketiga sekiranya terdapat kelemahan keselamatan dalam kod mereka.

Dalam catatan blog yang mengumumkan perubahan itu, Facebook mengatakan bahawa “kadang-kadang dapat menemukan” bug dan kerentanan kritikal dalam kod dan sistem pihak ketiga. “Ketika itu terjadi, keutamaan kami adalah melihat masalah ini segera diperbaiki, sambil memastikan orang yang terkena dampak diberitahu sehingga mereka dapat melindungi diri mereka dengan menggunakan patch atau mengemas kini sistem mereka.”

Facebook sebelum ini telah memberitahu pemaju pihak ketiga mengenai kerentanan, tetapi pergeseran kebijakan secara formal mengkodifikasikan dasar syarikat untuk mendedahkan dan mendedahkan kelemahan keselamatan.

Program pendedahan kerentanan, atau VDP, membolehkan syarikat menetapkan peraturan penglibatan untuk mencari dan mendedahkan pepijat keselamatan. VDP juga membantu memandu pengungkapan dan penerbitan kelemahan setelah bug diperbaiki. Syarikat sering menggunakan karunia bug untuk membayar penggodam yang mengikuti peraturan pelaporan dan pendedahan syarikat.

Perubahan dasar tidak sepenuhnya altruistik. Facebook, seperti banyak syarikat teknologi lain, bergantung pada banyak kod pihak ketiga dan perpustakaan sumber terbuka. Tetapi dengan membuat perubahan secara bertulis, ini juga memberi perhatian kepada pengembang pihak ketiga jika mereka tidak memperbaiki kerentanan tepat pada waktunya.

Casey Ellis, pengasas dan ketua pegawai teknologi di platform pendedahan kerentanan Bugcrowd, mengatakan pergeseran kebijakan menjadi semakin popular bagi syarikat dengan “permukaan serangan pihak ketiga yang besar, berpusat pada pengguna,” dan menggemari usaha serupa oleh Atlassian, Google dan Microsoft .

Facebook mengatakan apabila mendapati kerentanan , pihaknya akan memberikan 21 hari pembangun pihak ketiga untuk memberi respons dan 90 hari untuk menyelesaikan masalah tersebut, jangka masa yang diterima secara meluas untuk melaporkan dan memperbaiki masalah keselamatan. Syarikat itu mengatakan bahawa ia akan melakukan usaha yang wajar untuk mencari kontak yang tepat untuk melaporkan kerentanan, termasuk, tetapi tidak terbatas pada, menghantar e-mel pelaporan keselamatan, memfailkan pepijat tanpa perincian rahsia dalam pelacak bug atau mengajukan tiket sokongan. Tetapi syarikat itu mengatakan berhak untuk mengungkapkan lebih awal jika kerentanan dieksploitasi secara aktif oleh penggodam, atau menangguhkan pendedahannya jika disepakati bahawa lebih banyak masa diperlukan untuk menyelesaikan masalah.

Facebook mengatakan secara amnya tidak akan menandatangani perjanjian tanpa pendedahan (NDA) khusus untuk masalah keselamatan yang dilaporkannya.

Katie Moussouris, pengasas Luta Security, mengatakan kepada TechCrunch bahawa “syaitan akan berada dalam perinciannya.”

“Ujian ini akan menjadi pertama kalinya mereka harus menarik pencetus dan menjatuhkan sifar-hari – dengan panduan mitigasi – pada pesaing,” katanya, merujuk kepada kerentanan yang tidak dapat ditandingi di mana syarikat mempunyai hari yang sifar untuk menambalnya.

Dasar baru difokuskan secara khusus pada bagaimana Facebook menangani pendedahan masalah dalam kod pihak ketiga. Sekiranya penyelidik menemui kerentanan keselamatan di Facebook, atau dalam keluarga aplikasinya, mereka akan terus melaporkannya melalui Program Bug Bounty yang ada .

Sebagai sebahagian daripada perubahan dasar, Facebook mengatakan ia juga akan mendedahkan kelemahan apabila mereka diperbaiki. Dalam catatan blog yang berasingan, Facebook, yang memiliki WhatsApp, mendedahkan enam kelemahan dalam aplikasi pesanan – sejak diperbaiki.

Leave a Comment