Una alianza de compañías dedicadas a la seguridad informática y fabricantes de software exigen que los agujeros de seguridad sean solucionados antes de ser publicados.

La alianza OIS (iniciales de Organization for Internet Safety), formada recientemente, consiste –por parte de los fabricantes de software– de SCO Group (anteriormente Caldera), Microsoft, Oracle y SGI y – por las compañías de seguridad– de Internet Security Systems Inc., Network Associates y Symantec.

Los miembros de la alianza han trabajado por espacio de un año con el fin de establecer directrices comunes para hacer frente a las vulnerabilidades del software. A juicio de los fabricantes de software, los expertos en seguridad que detecten tales vulnerabilidades, también conocidas como agujeros de seguridad, deberían dar cuenta de inmediato a la empresa que ha creado el software, y no dar difusión al tema antes de que esta haya creado el parche –o código reparador– correspondiente.

El material publicado hasta ahora en el sitio web de OIS no contiene las directrices finales. El elemento central de la argumentación de OIS es que ninguna vulnerabilidad ha de ser hecha del conocimiento público antes de notificar al propio fabricante, y que este haya creado el código reparador.

OIS también desea prohibir la difusión de código que, al ser ejecutado, pueda poner en evidencia la vulnerabilidad del caso. En tal sentido, aunque la alianza reconoce que tales códigos pueden ser de utilidad para probar si un parche funciona en la práctica, estima que tal propósito debe subordinarse al hecho de que tal conocimiento puede ser explotado con fines malignos, tales como intrusión por parte de hackers y creación de virus.

Visite:

http://www.oisafety.org/