Secunia, sei mesi per correggere le vulnerabilità

Secunia ha deciso di modificare la politica di divulgazione delle vulnerabilità nel 2012: le aziende, ora, avranno un termine di sei mesi per correggere i bug attraverso il programma Vulnerability Coordination Reward Programme (SVCRP). Si tratta di un deciso passo in avanti nel difficile settore della sicurezza, in cui Secunia è presente come coordinatore dei fornitori sin dal 2003.

La precedente scadenza, pari ad un anno dalla notifica, è stata al centro di dibattiti e discussioni: l’obiettivo odierno è quello di offrire ai produttori di software il tempo necessario per rilasciare le correzioni e testarle, ma allo stesso tempo i sei mesi permettono ai consumatori di riceverle senza ulteriori ritardi. Si tratta, in realtà, di un limite che alcune aziende già rispettano: per esempio TippingPoint, filiale della HP. E, come dichiarato da Carsten Eiram, specialista di Secunia: «[Quello dei sei mesi] sembra un termine che la maggior parte dei produttori dovrebbe essere in grado di rispettare».

Al momento ogni società ha una propria politica riguardante le scadenze, e risulta quindi importante coordinare il lavoro e trovare un terreno comune e standard. Fortunatamente solo pochi produttori hanno bisogno di un tempo superiore ai sei mesi per correggere eventuali falle di sicurezza. Tuttavia non sarà facile, in futuro, trovare quegli standard di cui il settore avrebbe bisogno, perchè, sempre secondo Brad Arkin di Adobe, «ci sono sempre delle eccezioni nello sviluppo del software che rendono difficile, se non impossibile, implementare uno standard».

Gli fa eco Dave Forstrom di Microsoft, secondo cui ogni problema di sicurezza è unico e quindi ha bisogno di tempo differente. A differenza di Secunia, insomma, chi sviluppa software sembra non accettare di buon grado il restrittivo limite imposto, chiedendo che la standardizzazione possa comunque offrire la necessaria elasticità nei casi in cui la cosa si rendesse utile allo sviluppo di patch correttive efficaci.