25 Июля, 2013

Сколько стоит баг?

InfoWatch
Это обстоятельство крайне мешает такому полезному предприятию, как оплата доброхакерам за найденные ошибки. На хакерском краудсорсинге можно было бы даже систему государственной сертификации построить, не говоря о банальном предотвращении мошенничества и утечек.
       

Мешает то, что нельзя заранее оценить, сколько платить за найденную уязвимость. Ни хакер, ни производитель, ни пользователь бажной системы не могут даже приблизительно определить стоимость, пока не изучили суть уязвимости. А после изучения – уже поздно торговаться, карты раскрыты. Остаётся один метод – надеяться на совесть, добрую волю и щедрость "покупателя" уязвимости, которые обычно отсутствуют. Просто потому, что это не человек, а предприятие, юрлицо, бюрократическая машина, лишённая гуманистических качеств, в том числе, упомянутых.

Оттого и не спешат этичные хакеры отдать найденную ошибку на исправление. К тому же, часто есть другой покупатель, на этот раз – без кавычек.

Что за проблема такая? Обе стороны готовы совершить сделку, обеим она может быть выгодна. Но не совершают. Нет механизма договориться.

Продавать товар вслепую, без возможности его изучить и попробовать – эту задачу человечество решает давно. Взять, например, то же заключение брака... Эффективных рецептов такой продажи не найдено. Репутация сторон, оценка посредником, страхование – все эти методы работают в иных обстоятельствах, но тут малоприменимы.

После недолгих, но глубоких измышленийраздумий ваш покорный слуга нашёл решение. Оно состоит в распространении на найденные уязвимости авторского или патентного права, либо введении отдельного раздела интеллектуальной собственности для багов. При этом найденную уязвимость законом запрещается устранятьбез разрешения правообладателя, т.е. лица, её нашедшего и/или зарегистрировавшего. А имея указанную защиту права, они (хакер и производитель) поторгуются в условиях полной ясности и наверняка договорятся.

или введите имя

CAPTCHA
nolimix objective
25 Июля, 2013
ДА! Я предлагаю вообще запрещать вносить изменения в по, если найдена ошибка, а то они еще выпилят модуль с багом и усё, прощай патенты, прощай денюжки... И думаю на улучшения софта тоже мораторий ввести, а то мало ли кто придумал это улучшение, а разработчик его запилит, как потом автор докажет свое первенство? И вообще надо запретить прогресс и развитие, а то развиваются тут, понимаешь, как за всеми угнаться и отследить, как бы твою идею кто не украл или заново не придумал?
0 |
Иван
25 Июля, 2013
На секундочку представил диалог с потенциальным покупателем бага из платёжной системы при условии, что у меня патент и он не имеет права исправлять этот баг) Улыбнулся, автор, отсыпь
0 |
Прохожий
26 Июля, 2013
Авторское право однозначно тут не подходит, т.к. защищает "произведение", а не идеи, методы и способы реализации и т.д.
0 |
Ad-Min
26 Июля, 2013
Нда, автор Вы сжете. Что курили-то? Может поделитесь... Единственным разумным решением борьбы с багами является предварительное тестирование ПО, хотя бы той же шаблой нанятых хакеров. На этом можно развить еще одно направление фриленса. Но проблема в том, что производителю на эти услуги нужны деньги...
0 |
Voroshek
26 Июля, 2013
Вот тут хакеры высмеивают некоторую фирму, производящую операционную систему, за то, что она не устраняет баги, даже когда о них знает всё интернет-сообщество. А если этой фирме ещё и запретить их устранять...
0 |
Юрий
26 Июля, 2013
Или не договорятся. И решит патентодержатель не давать закрывать дыру. И продукт с оттакенной дырой с той или иной скоростью уйдет с рынка. И начнется война патентов МС и Эппл не в сфере "как реализована функция", а в сфере контроля за дырами друг в друге...
0 |
Ден
26 Июля, 2013
Заключается договор между нашедшим уязвимость и производителем формата 1) Такого-то числа информация об уязвимости передается специалистам компании 2) Через две недели информация об уязвимости открывается для всеобщего доступа. - Если компания выпускает патч, закрывающий уязвимость, до публичного раскрытия уязвимости, то она платит нашедшему ХХХ денег и информация об уязвимости не раскрывается. - Если компания выпускает патч после раскрытия информации в течении месяца, то выплачивает, к примеру ХХХ/2 денег. - Если более чем через месяц, но до полугода, то ХХХ/5 - Если не закрывает в течении полугода, то компания ничего не должна.
0 |