Một tiết lộ lỗ hổng là gì? - định nghĩa từ techopedia

Định nghĩa - Tiết lộ lỗ hổng có nghĩa là gì?

Tiết lộ lỗ hổng là một chính sách được thực hiện bởi các tổ chức cũng như các cá nhân liên quan đến việc tiết lộ hoặc xuất bản thông tin liên quan đến các lỗ hổng bảo mật và khai thác liên quan đến hệ thống máy tính, mạng hoặc phần mềm. Điều này là do thực tế là các tin tặc đạo đức và các chuyên gia bảo mật máy tính tin rằng trách nhiệm xã hội của họ là khiến công chúng nhận thức được các lỗ hổng có thể ảnh hưởng đến họ, nếu không sự im lặng có thể dẫn đến cảm giác an toàn sai lầm và khiến mọi người tự mãn, dẫn đến rủi ro hơn nữa.

Tiết lộ lỗ hổng còn được gọi là tiết lộ đầy đủ các lỗ hổng hoặc đơn giản là tiết lộ đầy đủ.

Techopedia giải thích Tiết lộ lỗ hổng

Tiết lộ lỗ hổng là thực tiễn xuất bản các chi tiết về lỗ hổng bảo mật cho công chúng để xem xét kỹ lưỡng và buộc các nhà cung cấp phần mềm và phần cứng phải nhanh chóng khắc phục các vấn đề này. Trước khi tiết lộ lỗ hổng, các nhà cung cấp phần mềm và phần cứng đã dựa vào tính bảo mật của bí mật, điều này nói rằng họ hy vọng rằng bất kỳ lỗ hổng nào họ sẽ không bị tin tặc phát hiện và khai thác. Tuy nhiên, tin tặc đã chứng minh hết lần này đến lần khác rằng nếu một lỗ hổng tồn tại, rất có thể chúng sẽ phát hiện ra nó sớm hay muộn.

Trước khi tiết lộ lỗ hổng trở thành một thông lệ, các nhà nghiên cứu bảo mật sẽ báo cáo các lỗ hổng mà họ tìm thấy thường bị bỏ qua, và một số thậm chí còn bị đe dọa kiện cáo nếu các lỗ hổng này được biết đến. Một số công ty thậm chí coi những lỗ hổng này là "lý thuyết" cho đến khi một hacker tài nguyên tìm thấy và khai thác chúng, lúc đó công ty sẽ phải nhanh chóng phát triển một bản vá và sau đó xin lỗi khách hàng của họ. Đó là lý do tại sao một nhóm các công ty và nhà nghiên cứu bảo mật đã cùng nhau hình thành "công bố trách nhiệm", dựa trên mối đe dọa xuất bản lỗ hổng để khiến công ty bị nghi ngờ phải làm gì đó.

Quá trình tiết lộ lỗ hổng bắt đầu khi lỗ hổng được phát hiện trong máy tính hoặc hệ thống phần cứng. Người phát hiện ra nó thông báo cho công ty thông tin chi tiết về lỗ hổng để họ có thể hành động. Sau 45 ngày, cho dù công ty có phát hành bản vá hay không, lỗ hổng được tiết lộ công khai.