Dos investigadores en seguridad informática han propuesto unas normas para estandarizar el proceso en el que se informa de los fallos de seguridad y el modo en que se arreglan.

Steve Christey, ingeniero jefe de seguridad informática de Mitre, y Chris Wysopal, director de investigación y desarrollo de la firma de seguridad digital @Stake, han enviado al IETF (Internet Engineering Task Force) una propuesta en la que se perfilan las formas estándares en que los fabricantes e investigadores deben divulgar los fallos de seguridad. Según estos expertos, es necesario fijar una normativa para codificar las reglas no escritas que sólo conoce la comunidad de expertos en seguridad, por las que se divulgan los fallos, de forma que toda la industria conozca y comprenda dichas normas. Christey y Wysopal están ahora a la espera de comentarios a su propuesta, denominada Responsible Vulnerability Disclosure Process (Proceso responsable de divulgación de vulnerabilidades).

Actualmente no hay acuerdo en cuanto a la forma en que se deben dar a conocer las vulnerabilidades del software. Fabricantes y expertos de seguridad tienen a menudo políticas opuestas al respecto: los fabricantes dicen que se les debe dar tiempo suficiente para arreglar un fallo antes de que sea desvelado, para no alertar a los hackers del fallo; los investigadores quieren que los usuarios tengan la información lo antes posible para presionar a los fabricantes en el desarrollo del correspondiente parche.

www.ietf.org