Отчет по процессу управления уязвимости показал подробности о приоритизации раскрытия ошибок.
Ежегодный отчет по процессу управления уязвимостями (Vulnerabilities Equities Process, VEP) за 2023 финансовый год (FY23) раскрывает интересные детали о том, как разведывательные и федеральные агентства США управляли уязвимостями в ПО.
В рамках данного процесса в течение года было раскрыто 39 уязвимостей, включая:
Основные наблюдения:
VEP остается важным, но не до конца прозрачным механизмом, позволяющим решать, раскрывать ли уязвимости в программном обеспечении или сохранять их в интересах национальной безопасности. Однако отсутствие данных о внедрении исправлений и общего числа рассмотренных уязвимостей ограничивает понимание эффективности VEP широкой аудиторией.
Ежегодный отчет по процессу управления уязвимостями (Vulnerabilities Equities Process, VEP) за 2023 финансовый год (FY23) раскрывает интересные детали о том, как разведывательные и федеральные агентства США управляли уязвимостями в ПО.
В рамках данного процесса в течение года было раскрыто 39 уязвимостей, включая:
- 29 новых уязвимостей, выявленных в отчетный период;
- 10 уязвимостей, пересмотренных из предыдущих лет и раскрытых после дополнительной оценки.
Основные наблюдения:
- Статус исправлений неизвестен: в отчете указано, что информация о том, были ли недостатки устранены разработчиками, не отслеживается. Это подчеркивает существенный пробел в прозрачности и в оценке того, как раскрытие уязвимостей влияет на общую безопасность программного обеспечения.
- Пересмотренные уязвимости (10 случаев): такие ошибки, вероятно, удерживались для внутреннего использования в правительстве, что могло включать шпионаж или наступательные операции. Это соответствует практике сохранения некоторых уязвимостей для стратегического преимущества.
- Недостаток информации о масштабе процесса: в отчете VEP отсутствуют данные о том, сколько уязвимостей было рассмотрено, но не раскрыто. Это делает невозможным оценку того, сколько уязвимостей было изначально рассмотрено для раскрытия, но оставлено для оперативных нужд. Такая информация могла бы дать представление о балансе между общественной безопасностью и национальными интересами.
VEP остается важным, но не до конца прозрачным механизмом, позволяющим решать, раскрывать ли уязвимости в программном обеспечении или сохранять их в интересах национальной безопасности. Однако отсутствие данных о внедрении исправлений и общего числа рассмотренных уязвимостей ограничивает понимание эффективности VEP широкой аудиторией.