Судебный процесс над ТОП-менеджером Trenchant демонстрирует реальное отношение американского государства к раскрытию уязвимостей. Нам обычно рассказывают, как международное комьюнити экспертов должно совместно работать над раскрытием уязвимостей в продуктах американских вендоров. Часто "за спасибо" и ради общего блага! 🕊😇

Но как дело касается утечки эксплоитов 0day-ев, используемых США в кибератаках, риторика меняется:

"Национальная безопасность Америки НЕ ПРОДАЕТСЯ, особенно в условиях постоянно меняющейся угрозы, когда киберпреступность представляет серьезную опасность для наших граждан"

"ФБР и наши партнеры будут защищать Родину и привлекать к ответственности каждого, кто помогает нашим противникам ставить под угрозу национальную безопасность США"

Что ж вы свои 0day-и не раскрываете, лицемеры? 😏

Уязвимости - это действительно вопрос национальной безопасности, поэтому утечки 0day-ев из России за рубеж необходимо перекрыть, создав систему централизованного репортинга. 🚰❌

Исследователей могут обязать репортить уязвимости, найденные в программном обеспечении, некоторому регулятору. Об этом сообщает РБК:

"Также предлагается ввести обязанность для всех, кто обнаружил уязвимость, сообщать о ней не только владельцу программного обеспечения, но и силовым ведомствам. В ст. 274 Уголовного кодекса («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации») предлагается внести поправку, по которой «неправомерная передача уязвимостей», то есть не соответствующая установленным правилам, будет квалифицироваться как преступление."

Как я понимаю, под "владельцем ПО" понимается его вендор. Таким образом это НЕ централизованный репортинг уязвимостей, когда решение о том, сообщать ли об уязвимости вендру принимает сам регулятор, а скорее параллельный репортинг, когда вендор и регулятор узнают об уязвимости одновременно.

Но и такой вариант, имхо, гораздо лучше нерегулируемого репортинга уязвимости, как есть сейчас. 👍