Производитель-сек - Vendor-sec

vendor-sec был список электронной рассылки предназначен для распространителей операционных систем, использующих (но не обязательно исключительно) бесплатно и с открытым исходным кодом программного обеспечения. Список использовался для обсуждения потенциальных уязвимостей безопасности элементов распространения (ядра, библиотек, приложений), а также для координации выпуска обновлений безопасности участниками.[1][2]

По состоянию на март 2011 г., после нарушения безопасности, vendor-sec больше не используется.[3] Рассматриваются возможные альтернативы этому.

В список вошли представители различных Дистрибутивы Linux, а также ряд BSD раздачи. В списке не делалось различий между коммерческими и некоммерческими поставщиками.

Список рассылки не модерировался, но запросы на членство проверялись вручную, чтобы гарантировать, что только целевая аудитория может присоединиться. Это было сделано, чтобы избежать утечки потенциально конфиденциальных дискуссий, поскольку члены vendor-sec имели доступ к информации об уязвимостях до того, как они стали общедоступными.[4] Практика Vendor-sec ответственное раскрытие информации.

В соответствии с условиями использования информация, обнаруженная через vendor-sec, не может быть раскрыта поставщиками заранее. Баланс между временем, затрачиваемым на анализ проблемы, и требуемой конфиденциальностью был описан как «тонкий».[5] и может вызвать разочарование («Переход к поставщику ... создает непростительные задержки, [обязывает] вас соблюдать конфиденциальность»).[6]

Рекомендации

  1. ^ "список рассылки vendor-sec".
  2. ^ "Red Hat Magazine:" Отчет о рисках: Red Hat Enterprise Linux 4 за три года"".
  3. ^ «Vendor-sec хостинг и будущее закрытых списков».
  4. ^ "Re: Причина изменения".
  5. ^ "Торвальдс опровергает список частных лиц безопасности Linux, предоставленных поставщиком".
  6. ^ "Re: [стабильный] Linux 2.6.25.10 (резюме)".

внешняя ссылка