Según un artículo publicado en Hispasec, nos hacemos eco de un informe que determina cuanto tiempo necesitan los fabricante y desarrolladores de Software para corregir un agujero de seguridad. Claro, este estudio está basado en vulnerabilidades de Software no públicas, con lo que los fabricantes se aseguran la no divulgación de estos problemas de seguridad.
La verdad que este tema cambia de perspectiva si estas vulnerabilidades se hacen públicas y llegan a oido del usuario o cliente, ya que entonces, los mismos perciben el peligro de usar dicho software. Estos son los 2 principales escenarios en este tema, que sea pública la divulgación del fallo o no.
Los fabricantes actuan de forma distinta sin la presión de los medios cuando dichos errores en seguridad son privados y sólo la empresa es consciente del peligro que supone para terceros.
Siguiendo con este estudio, se basa en 2 iniciativas de compañías privadas, iDenfense y ZeroDayInitiative. Estas empresas se dedican en exclusiva a comprar vulnerabilidades en sistemas muy usados a través de investigadores privados que se las reportan, una vez se hacen con ellas, divulgan de forma responsable estas vulnerabilidades al fabricante y a los medios, siempre que haya un parche para corregir el error y aplicando una política de «revelación responsable«.
Una vez que dicha vulnerabilidad sale a la luz iDenfense y ZeroDayInitiative realizan un estudio cronológico sobre la vulnerabilidad por la que ofrecen información sobre cuando fue informado el fabricante, cuando reconoció dicho fallo y la fecha en que ambos decidieron que se haría publica la información.
Este estudio publicado en Hispasec nos ha resultado muy interesante para conocer los detalles del mundo de los fabricantes de Software y de la información que manejan. puedes continuar con este informe a través de este enlace.