Esistono numerosi approcci per promuovere la scoperta e la risoluzione delle vulnerabilità del software. I metodi più comuni per fornire compensi ai ricercatori sono bug bounties (gestito da fornitori) e broker di vulnerabilità (che acquistano e vendono informazioni sulle vulnerabilità applicabili ai software più diffusi). Questi sono ben descritti in Un confronto tra approcci di mercato a Software vulnerability disclosure (2006) di Rainer Böhme, ma osserva che sono tutti malamente imperfetti e non conducono al tipo di investimento di ricerca o di coinvolgimento dei produttori che dobbiamo affrontare gli enormi problemi di software insicuro. I broker di vulnerabilità black-hat, che non rilasciano gli exploit ai venditori, pagano molto di più (un fattore di 10?) Ai ricercatori black-hat di quanto non facciano i broker più etici. Il risultato è che gran parte della ricerca va sottoterra e contribuisce all'insicurezza di Internet piuttosto che alla sicurezza.
Penso che la proposta di Böhme per i exploit derivatives sia una forma di mercato molto promettente da esplorare, per ottenere esattamente ciò di cui stai parlando. Offre ai ricercatori un modo per fare soldi scoprendo una vulnerabilità senza doverla rivelare in modo pericoloso. Come scrive Böhme:
consider a contract that pays its owner the sum of 100 EUR on, say, 30 June 2006 if there exists a remote root exploit against a precisely specified version of ssh on a defined platform. It is easy to issue this kind of contacts, since you would sell it as a bundle with the inverse contract that pays 100 EUR if the ssh program is not broken within the maturity. Then, different parties can trade the contracts on a electronic trading platform that matches bid and ask prices, settles the deals, and publishes the price quotes.
[This kind of market would attract a variety of groups of market participants:]
software users would demand contracts paying on breaches in order to hedge the risks they are exposed to due to their computer network.....
Software vendors could demand contracts that pay if their software remains secure as a means to signal to their customers that they trust their own system; or contracts that pay if their competitors’ software breaks.....
software vendors [could] use exploit derivatives as part of their compensation schemes to give developers an incentive to secure programming....
Finally, security experts could use the market to capitalize effort in security analyses. If,
after a code review, they consider a software as
secure, they could buy contracts on the secure
state at a higher rate than the market price.
Sono un'applicazione di " Opzioni binarie " agli eventi di sicurezza. Vedi Exploit Derivatives & Sicurezza nazionale
di Micah Schwalb per ulteriori dettagli.
Il problema principale sembra essere che varie leggi possono essere utilizzate in varie giurisdizioni per inibire il flusso di informazioni sulle vulnerabilità, come discute da Schwalb, quindi è qualcosa su cui lavorare, e propone un'idea per abilitare un pilota di questo tipo di mercato facendo eccezioni alla legge per l'emergente ma rischioso mondo delle vulnerabilità ipv6.
Vedi le altre opzioni e altre discussioni su questo sito all'indirizzo: Progressi nell'approccio di mercato alla divulgazione di vulnerabilità del software? - Sicurezza IT - Stack Exchange