Definição – o que significa divulgação de vulnerabilidade?
Uma divulgação de vulnerabilidade é uma política praticada por organizações e também por indivíduos em relação à divulgação ou publicação de informações sobre vulnerabilidades de segurança e explorações pertencentes a um sistema de computador, rede ou software. Isso se deve ao fato de que hackers éticos e especialistas em segurança de computador acreditam que é sua responsabilidade social conscientizar o público em geral sobre as vulnerabilidades que podem impactá-lo, caso contrário, o silêncio pode levar a uma falsa sensação de segurança e fazer com que as pessoas sejam complacentes , levando a riscos adicionais.
A divulgação de vulnerabilidades também é conhecida como divulgação completa de vulnerabilidades ou simplesmente divulgação completa.
Definirtec explica divulgação de vulnerabilidade
A divulgação de vulnerabilidades é a prática de publicar os detalhes de uma vulnerabilidade de segurança ao público em geral para análise e para forçar os fornecedores de software e hardware a corrigir esses problemas rapidamente. Antes das divulgações de vulnerabilidades, os fornecedores de software e hardware confiavam na segurança do sigilo, o que significa que esperavam que quaisquer vulnerabilidades que tivessem não seriam descobertas e exploradas por hackers. No entanto, os hackers provaram repetidamente que, se houver uma vulnerabilidade, eles provavelmente a descobrirão mais cedo ou mais tarde.
Antes que a divulgação de vulnerabilidades se tornasse uma prática comum, os pesquisadores de segurança que relatavam as vulnerabilidades encontradas eram frequentemente ignorados e alguns até ameaçados com ações judiciais se as vulnerabilidades se tornassem conhecidas. Algumas empresas até tratavam essas vulnerabilidades como “teóricas” até que um hacker engenhoso as encontrasse e explorasse, momento em que a empresa teria que desenvolver rapidamente um patch e depois se desculpar profusamente com seus clientes. É por isso que um grupo de empresas e pesquisadores de segurança se reuniram para formar a “divulgação de responsabilidade”, que contava com a ameaça de publicação da vulnerabilidade para fazer a empresa em questão fazer algo a respeito.
O processo de divulgação de vulnerabilidade começa quando uma vulnerabilidade é descoberta em um computador ou sistema de hardware. A pessoa que o descobriu informa a empresa com detalhes da vulnerabilidade para que ela possa agir. Após 45 dias, independentemente de a empresa ter lançado um patch ou não, a vulnerabilidade é divulgada publicamente.