5
guide
guide
Tutti i linguaggi per diventare uno sviluppatore di app per Android.
OpenSSL: aggiornate le policy sui bug
Il team che si occupa dello sviluppo e di OpenSSL, nota implementazione rilasciata sotto (doppia) licenza Open Source dei protocolli […]
- di Claudio Garau
- 17 Settembre 2014
Il team che si occupa dello sviluppo e di OpenSSL, nota implementazione rilasciata sotto (doppia) licenza Open Source dei protocolli crittografici SSL (Secure Sockets Layer) e TLS (Transport Layer Security) per le comunicazioni protette, ha recentemente modificato le policy riguardanti la diffusione di informazioni relative ai bug e ad altre problematiche legate alla sicurezza.
Nello specifico l’aggiornamento affronta le questioni inerenti l’information disclosure, fattore che se gestito in modo adeguato potrebbe andare anche a vantaggio della vasta community di utilizzatori della libreria; a tal proposito è stato introdotto un nuovo sistema per la classificazione delle vulnerabilità individuate, una tassonomia basata in pratica sul quello che dovrebbe essere il reale livello di gravità delle falle in attesa di correzione.
Sostanzialmente, le policy attuali stabilirebbero che nei casi più gravi (high severity issues) non dovrebbe essere diffusa alcuna notizia fino al momento in cui non dovesse essere rilasciato un upgrade, o più aggiornamenti, in grado di mettere in sicurezza tutti i rami di sviluppo principali supportati; verrà fatta un’eccezione soltanto per coloro che implementano piattaforme come per esempio le distribuzioni basate sul Kernel Linux, destinati a ricevere tali informazioni in anticipo per ragioni legate alla distribuzione dei packages.
Per quanto riguarda invece i bug considerati a moderato livello di gravità (moderate severity issues) non si dovrebbero avere fughe di notizie prima della pubblicazione di una versione realizzata per la loro correzione; infine, le vulnerabilità ritenute a basso livello di rischio (low severity issues) dovrebbero essere rese note sin da subito.
Verrà quindi considerata non particolarmente preoccupante una falla correlata ad un exploit di difficile esecuzione, mediamente rischioso un bug che potrebbe dar luogo a malfunzionamenti, come per esempio crash a carico delle applicazioni, e pericolosa un vulnerabilità sfruttabile per l’esecuzione di attacchi finalizzati al DoS (Denial of Service).
Reso pubblico lo scorso aprile, Heartbleed Bug ha creato probabilmente più clamore e polemiche che problematiche di natura tecnica, motivo per il quale le nuove policy sarebbero mirate ad una diffusione più razionale delle notizie riguardanti la sicurezza.
Se vuoi aggiornamenti su OpenSSL: aggiornate le policy sui bug inserisci la tua email nel box qui sotto:
Compilando il presente form acconsento a ricevere le informazioni relative ai servizi di cui alla presente pagina ai sensi dell'informativa sulla privacy.
Abbiamo ricevuto la tua richiesta di iscrizione. Se è la prima volta che ti registri ai nostri servizi, conferma la tua iscrizione facendo clic sul link ricevuto via posta elettronica.
Se vuoi ricevere informazioni personalizzate compila anche i seguenti campi opzionali.
Compilando il presente form acconsento a ricevere le informazioni relative ai servizi di cui alla presente pagina ai sensi dell'informativa sulla privacy.
