Il social network stabilisce nuove regole per avvertire gli utenti se nei programmi di terze parti ci sono bug o falle nella sicurezza: 90 giorni per la denuncia
Facebook ha pubblicato il suo primo regolamento sulla scoperta di vulnerabilità, da applicare quando individua delle falle nella sicurezza dei codici di sviluppatori di terze parti. Facebook detta così tempi e modi per denunciare bug nei sistemi e le pratiche con cui fornitori e partner dovranno risolverle e comunicarle.
Come si legge nel post della società, agli sviluppatori della piattaforma occorre di “trovare occasionalmente” bug e vulnerabilità critiche nei codici e sistemi di terze parti. “Quando ciò accade”, scrive Facebook, “la nostra priorità è vedere questi problemi risolti prontamente, assicurandoci che le persone interessate siano informate in modo che possano proteggersi distribuendo una patch o aggiornando i loro sistemi”.
Con questo cambiamento Facebook deciderà da sé ciò che deve essere divulgato e in che tempi deve essere fatto. Il fornitore avrà 21 giorni per rispondere alle richieste di Menlo Park. “Se non riceviamo risposta entro 21 giorni dalla segnalazione, Facebook si riserva il diritto di rivelare la vulnerabilità“, si legge nella policy.
Inoltre, “se entro 90 giorni dalla segnalazione non sono disponibili correzioni o aggiornamenti che evidenziano che il problema è stato risolto in modo ragionevole, Facebook rivelerà la vulnerabilità”. E ancora, “se una correzione è pronta ed è stata convalidata, ma il proprietario del progetto ritarda inutilmente l’implementazione della correzione, potremmo avviare la divulgazione prima della scadenza di 90 giorni, quando il ritardo potrebbe avere un impatto negativo sul pubblico”.
La divulgazione delle vulnerabilità, quindi, potrà avvenire anche prima dei 90 giorni se la situazione è abbastanza grave da dover avvisare preventivamente anche gli utenti. Queste nuove politiche riguardano i problemi riscontrati nei codici provenienti da terze parti. Facebook ha invece un programma di bug bounty interno per segnalare problemi collegati al suo codice.
Leggi anche
Potrebbe interessarti anche