طرح Facebook اليوم سياسة رسمية للكشف عن الثغرات الأمنية في منتجات الجهات الخارجية وأعلن أيضًا عن إنشاء موقع ويب جديد لتوفير تحديثات الأمان وكشف الأخطاء المتعلقة بـ WhatsApp.
تعمل سياسة الإفصاح عن الثغرات الأمنية الجديدة على Facebook رسميًا على تقنين مجموعة من الممارسات التي قالت الشركة العملاقة لوسائل التواصل الاجتماعي إنها ستتبعها في إصدار معلومات حول أي مشكلات أمنية قد يكتشفها الباحثون في منتجات الجهات الخارجية.
بموجب السياسة ، عندما يبلغ Facebook طرفًا ثالثًا عن خطأ ما ، فإنه سيمنح هذا الكيان 21 يومًا لإعلام Facebook بكيفية تخفيف المشكلة. إذا لم يستجب الطرف الثالث ، يقول Facebook إنه يحتفظ بالحق في الكشف عن الخطأ علنًا. تقول الشركة إنها ستفعل الشيء نفسه إذا لم يتوفر إصلاح بعد 90 يومًا. تسرد صفحة الإفصاح عن سياسة Facebook الجديدة العديد من العمليات والخطوات الأخرى التي ستتخذها لضمان حصول الطرف الثالث على كل فرصة لفهم الخطأ وإصلاحه قبل أن تنفد ساعة الكشف.
يتبع Facebook بالفعل بشكل غير رسمي العديد من الممارسات. قال فيسبوك يوم الخميس إن الهدف من الإعلان عن سياسة منظمة هو “شرح واضح” للتوقعات والجداول الزمنية وعمليات الإبلاغ عند اكتشاف مشكلات أمنية في رموز وأنظمة الطرف الثالث.
يقول ناثانيال جليشر ، رئيس سياسة الأمان في Facebook: “من وقت لآخر ، في سياق عملنا ، نواجه ثغرات أمنية في تعليمات برمجية تابعة لجهات خارجية ، بما في ذلك البرامج مفتوحة المصدر أو برامج البائعين المغلقة المصدر أو الأجهزة من بين أشياء أخرى”.
في الماضي ، اكتشف باحثو Facebook وأبلغوا عن نقاط ضعف متعددة في عملاء VPN ، وخوادم VPN ، والمفاتيح الضوئية ، وبرامج المحاكاة الافتراضية ، وأجهزة تخزين الملفات ، وعملاء البريد الإلكتروني ، من بين أنواع أخرى من البرامج أو الأجهزة ، كما يقول جليشر.
“هذه السياسة تقنن المبادئ الأساسية التي سعينا دائمًا لاتباعها: وضع المستخدمين أولاً ، وتقليل الضرر ، ومشاركة النتائج التي توصلنا إليها لمساعدة مجتمع infosec على تصحيح المشكلات بسرعة” ، كما يقول.
في السنوات الأخيرة ، عملت صناعة الأمن على بناء إجماع حول ممارسات الكشف عن الأخطاء المسؤولة. على الرغم من أن غالبية عمليات الكشف هذه الأيام تلتزم بالسياسات المستخدمة على نطاق واسع مثل تلك التي أعلن عنها Facebook اليوم ، فقد كانت هناك حالات أصدر فيها الباحثون الأمنيون والموردون تفاصيل الأخطاء قبل أن يتوفر إصلاح لها.
أحد الأمثلة البارزة على وجود خطأ في مكتبة تشفير Windows كان ملف الباحث من برنامج Project Zero من Google الذي تم الكشف عنه في يونيو 2019 حتى عندما كان الإصلاح الخاص به جاهزًا. في هذه الحالة ، وصف الباحث الإفصاح بأنه يحدث فقط بعد أن قدم لشركة Microsoft الوقت الكافي لإصلاح المشكلة. لدى Google ، مثل شركات التكنولوجيا الأخرى ، سياسة الإفصاح عن الأخطاء المفصلة رسميًا والتي لها جدول زمني مماثل لسياسة Facebook ،
حاول Facebook ومئات من الشركات الأخرى التخفيف من مخاطر الكشف عن الأخطاء في منتجاتهم من خلال تنفيذ برامج مكافآت الأخطاء الرسمية التي تمنح الباحثين الأمنيين المستقلين والجهات الخارجية طريقة للبحث عن الأخطاء والإبلاغ عنها بشكل مسؤول في منتجاتهم. قدم Facebook حتى الآن أكثر من 9.8 مليون دولار كمكافآت للباحثين من حوالي 60 دولة للإبلاغ المسؤول عن نقاط الضعف في منتجات وخدمات Facebook. يقول جليشر إن الشركة دفعت في عام 2019 وحده أكثر من 2.2 مليون دولار لهؤلاء الباحثين المستقلين.
بالإضافة إلى سياسة الإفصاح الجديدة ، أطلق Facebook أيضًا موقعًا إلكترونيًا جديدًا يوفر بشكل دوري معلومات حول أمان WhatsApp – بما في ذلك الأخطاء المصححة حديثًا. وفقًا لـ Facebook ، يأتي ثلث الأخطاء المبلغ عنها في WhatsApp عبر برنامج bug-bounty الخاص به ، ومثل معظم الأخطاء يتم تصحيحها في نفس اليوم.
يلاحظ جليشر: “لقد كشف WhatsApp عن CVEs عبر MITER سابقًا وسنواصل القيام بذلك”. “لكننا أردنا أيضًا تسهيل الأمر على الباحثين في مجال الأمان والأشخاص الذين يستخدمون خدمتنا للحصول على تحديثات وفهم العمل الأمني [around WhatsApp]. نأمل أن يحصل أي شخص يشاهد الصفحة على فهم أفضل لأمن WhatsApp “.
جاي فيجايان هو مراسل تقني متمرس يتمتع بخبرة تزيد عن 20 عامًا في الصحافة التجارية لتكنولوجيا المعلومات. شغل مؤخرًا منصب محرر أول في Computerworld ، حيث غطى قضايا أمن المعلومات وخصوصية البيانات للنشر. على مدار 20 عامًا … عرض السيرة الذاتية الكاملة
اقتراحات للقراءة:
المزيد من الأفكار