Hace una semana salió a la luz la vulnerabilidad Copy Fail, e Hyunwoo Kim se dio cuenta de inmediato de que las correcciones eran insuficientes, compartiendo un parche el mismo día. Al hacer esto, siguió el procedimiento estándar para Linux, especialmente dentro de las redes: compartir el impacto de seguridad con una lista cerrada de ingenieros de seguridad de Linux, mientras se corrige el error de forma silenciosa y eficiente en público. Su objetivo era que, al ser pública solo la corrección bruta, el conocimiento de que existía una vulnerabilidad grave pudiera ser "embargado": las personas en posición de abordarlo lo saben, pero han acordado no decir nada durante unos días.
Alguien más notó el cambio, sin embargo, se dio cuenta de las implicaciones de seguridad y lo compartió públicamente. Dado que ahora ya se sabía, el embargo se consideró terminado, y ahora podemos ver los detalles completos.
Es interesante ver la tensión aquí entre dos enfoques diferentes para las vulnerabilidades, y pensar en cómo es probable que esto cambie con la aceleración de la IA.
Nikesh Arora, CEO de Palo Alto Networks, hace un par de semanas en el podcast Hard Fork:
Miren, creo que el principio de la ventana de 90 días es permitir que los propietarios del producto o de la pieza de software, una pieza de código, tengan tiempo suficiente para investigar, corregirlo y asegurarse de que sus clientes estén seguros. Creo que la ventana de 90 días se va a reducir, como bien articularon. ¿Cuánto se reducirá? Sigue en debate. ¿De cuánto tiempo disponemos?"
"Piensen en lo que acabamos de hacer. Anunciamos esta mañana que hemos parcheado casi 30 vulnerabilidades críticas. Hemos sabido de ellas durante dos o tres semanas. Hemos tenido tiempo para ir a probarlo. Hemos tenido tiempo para construir parches, prácticamente desplegamos todo lo que está disponible desde la perspectiva de software SaaS. Así que el desafío no es el software SaaS, ¿verdad? El software SaaS se puede encontrar. Se puede arreglar. Se puede desplegar. No es un problema. El desafío es cuando hay una laptop frente a ti, y tengo que asegurarme de que actualices tu laptop porque se requiere que hagas algo con ella.
Comentarios
No hay comentarios aun.
Inicia sesión para comentar.