Facebook gaat kwetsbaarheden onthullen als oplossen te lang duurt

Abonneer je gratis op Techzine!

Facebook zal in de toekomst informatie over kwetsbaarheden in third-party software publiceren als het bedrijf teveel tijd neemt om deze op te lossen. Dat laat het bedrijf weten in de nieuwe Vulnerability Disclosure Policy.

Volgens Facebook zal de optie worden gebruikt om developers achter de software een reden te geven sneller in actie te komen bij het ontdekken van een kwetsbaarheid. Het gaat dan om kritieke beveiligingsproblemen of kwetsbaarheden in de code van third-party systemen inclusief open source software.

Als een dergelijke kwetsbaarheid wordt aangekaart, geeft Facebook de makers drie weken om met een reactie te komen. Blijft het stil, dan staat het Facebook vrij om details over het probleem bekend te maken. Binnen negentig dagen na het moment van aankaarten moet een fix voor het probleem worden uitgerold, of een update van de makers dat men bezig is met de situatie. Als dit niet gebeurt, zal Facebook overgaan tot publicatie van de kwetsbaarheid.

Uitzonderingen op de opgestelde regels zijn er ook. Zo kan Facebook eerder in actie komen als een bug al actief wordt misbruikt. Ook kan de deadline van negentig dagen achterwege gelaten worden als een developer het uitrollen van een beschikbare patch onnodig lang laat duren. Elke situatie wordt volgens Facebook individueel bekeken aan de hand van deze criteria.

Facebook volgt voorbeeld Google

Met het geven van negentig dagen alvorens details worden gepubliceerd lijkt Facebook Google te volgen. Die techgigant maakte begin dit jaar de nieuwe policy rondom disclosure bekend, waarbij ook een nieuwe termijn van negentig dagen werd gegeven aan devs. In overleg tussen een partij en Google kon dan alsnog worden besloten om de kwetsbaarheid eerder bekend te maken, bijvoorbeeld om een onthulling direct te koppelen aan een update.