El debate continua: full disclousure v.s none disclousure

En el reciente debate donde Linus argumentaba su desacuerdo con el manejo de los bugs en el kernel de Linux, también ha dejado claro cual es la política de manejo de los mismos. Linus dice que para el, los bugs de seguridad son bugs a fin de cuentas y deben ser tratados como los demás bugs, el no espera lanzar un HOWTO de como explotarlos cada vez que se encuentra algún bug.

Esto solo perjudica a los mil vendedores que simplemente copian los advisories de los demás sitios para enaltecer aun mas el circo de la seguridad informática, como lo denomina Torvalds, pero no influye en nada para las personas que se dedican a encontrar y explotar bugs en el kernel y demás.

Así que, ¿como debería manejarse este tipo de información?, ¿debería ser full disclousure? Yo pienso que no, que técnicamente Linus tiene razón y se debería manejar como un bug más, sin tanta parafernalia ni teatros.

¿Que piensan ustedes?

Go up