Исследователей могут обязать репортить уязвимости, найденные в программном обеспечении, некоторому регулятору. Об этом сообщает РБК:
"Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление."
Как я понимаю, под "владельцем ПО" понимается его вендор. Таким образом это НЕ централизованный репортинг уязвимостей, когда решение о том, сообщать ли об уязвимости вендру принимает сам регулятор, а скорее параллельный репортинг, когда вендор и регулятор узнают об уязвимости одновременно.
Но и такой вариант, имхо, гораздо лучше нерегулируемого репортинга уязвимости, как есть сейчас. 👍
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.