Co bezpieczniejsze? Wiedzieć, że w oprogramowaniu jest dziura, która może być wykorzystana przez napastnika, nawet jeśli nie ma jeszcze wydanej poprawki? Czy może dowiadywać się o luce dopiero w momencie udostępnienia łaty?

Debata jaka toczy się niemal od początków istnienia oprogramowania dzieli biorących w niej udział na dwa obozy - zwolenników "pełnej jawności" i obrońców "odpowiedzialnego ujawniania". Ci drudzy wyznają filozofię większej dyskrecji co do luk bezpieczeństwa, obawiając się, że potencjalni napastnicy skorzystaliby na tych informacjach. To jednak zakłada, że napastnicy jeszcze się o lukach nie dowiedzieli. Jeśli jednak wiedzą, wtedy to obrońcy systemów błądzą w ciemności. Obie strony mają więc poważne argumenty.

Spór zrobił się szczególnie zażarty, od kiedy w latach 90. Microsoft Windows zaczęły dominować w środowiskach desktopu i serwera, co dało różnym "script kiddies", wyposażonym w zautomatyzowane narzędzia, możliwość łatwego ataku przez internet. W dodatku Microsoft w tamtych czasach pozostawał w błogim stanie zaprzeczania wszelkim dziurom w swoim oprogramowaniu.

Chcąc niechcąc coraz więcej zajmowano się badaniami nad bezpieczeństwem. Powstawały takie firmy jak eEye Digital Security (założona w 1998 r.), odkrywające w Windows jedną lukę po drugiej, tym samym optując za pełną jawnością.

Wielkie uderzenie w bezpieczeństwo oprogramowania Microsoftu nastąpiło w 2001 r., kiedy w internecie szalał robak Code Red, wykorzystujący lukę niezałatanych serwerów Microsoft ISS. Chociaż poprawka dla IIS, która mogła powstrzymać Code Red, funkcjonowała już od miesiąca, to temat ujawniania luk stał się bardzo gorący. Pojawiły się oskarżenia wobec eEye Digital Security o ujawnianie zbyt wielu informacji o dziurach w oprogramowaniu Microsoftu.

Za próby znalezienia kompromisu w tym sporze można uznać stworzenie grupy nazywającej się Organization for Internet Safety, założonej w 2002 r. przez Microsoft i kilka innych dużych firm software'owych. Miała ona stworzyć wytyczne procedury "odpowiedzialnego" ujawniania luk w oprogramowaniu. Zaktualizowane po raz ostatni w 2004 r. wytyczne OIS mówią, że odkrywca luki powinien dyskretnie podzielić się swoją wiedzą wyłącznie z zainteresowanym dostawcą oprogramowania, dając mu 30 dni na rozwiązanie problemu. Niektórzy spośród tych, którzy popierali kiedyś wytyczne OIS, teraz twierdzą, że są one przestarzałe i służą jedynie ochronie dostawców oprogramowania.

Rozwiązania sporu nie znaleziono i dyskusja jeszcze bardziej się komplikuje - doszedł wątek sprzedawania informacji o lukach firmom związanym z bezpieczeństwem, które udostępniałyby patche na zasadach subskrypcji użytkownikom oprogramowania.

Zobacz "Czy kupowanie informacji o lukach bezpieczeństwa jest etyczne?"

***

Zobacz: "Najbardziej zażarte spory technologiczne"