Disclose.io ile birlikte güven tesis ediyoruz

Temmuz 16, 2019

Neden diğerini değil de o antivirüs programını alıyorsunuz? Çünkü o daha uygun maliyetli Çünkü ona daha çok güveniyorsunuz, tabii ki bu seçenek. Peki güvenlik araştırmacıları neden bir başkasını değil de bu uygulamayı analiz etmeye daha çok zaman harcıyor? Çünkü ilk uygulamayı geliştiren firmaya daha fazla güveniyorlar. İşletmelerin hepsi, ürünlerinde güvenlik açıkları tespit edilmesini hoş karşılamaz — hatta bazılarının araştırmacıları dava açmakla tehdit ettiği bile olur.

Dolayısıyla evet, bir ürün veya firmayı seçmek genel olarak güvenle alakalıdır. Güveni yıkmaya tek bir hata bile yeterken, güven tesis etmek ciddi derecede zordur. Binlerce tuğladan oluşan bir kuleye benzetilebilir — bir tuğlanın çıkarılması kuleyi kolaylıkla yıkabilecekken, kuleyi inşa etmek için binlerce tuğlayı sabır ve özenle döşemeniz gerekir. Zor ve zaman alan bir iştir.

Araştırmacılar için güvenli bir liman

Kaspersky’da müşterilerimizin ve potansiyel müşterilerimizin bize güvenmesini istediğimiz için bu kuleyi tuğla tuğla inşa ediyor ve koruyoruz. Bu doğrultuda Küresel Şeffaflık Girişimimizi başlatmış bulunuyoruz. Bunun faaliyetlerimizin şeffaflığını göstermesini umuyoruz. Ayrıca, yazılım hatası bulma ödüllerimizi (Bug bounty) de arttırdık. Bugcrowd platformunun ürünlerimizde inceleme yapıp güvenlik açıkları bulacak olanlar hakkında hukuki işlemler başlatmayacağımızı garanti altına alan Disclose.io projesine katıldığımızı duyurmaktan mutluluk duyuyoruz.

Bugcrowd, Disclose.io projesini yazılı hatası bulma ve güvenlik açığı ifşa programlarıyla uğraşan kuruluşları ve araştırmacıları korumak için açık bir yasal çerçeve sağlamak üzere 2018 yılının Ağustos ayında tanınmış güvenlik araştırmacısı Amit Elazari ile başlattı. Temel olarak Disclose.io, araştırmacılar ve işletmeler arasında bir takım anlaşmalar sunar. Disclose.io projesine katılan tüm firmalar ve tüm araştırmacılar, bu anlaşmaların gereklerini yerine getirmeyi kabul etmiş bulunmaktadır. Bu anlaşmalar gayet basit ve açıktır. Kolay okunup anlaşılırlar — yüzlerce alt maddeyi, hukuk sözleşmelerinin işlemesini neredeyse imkansız hale getiren her yere sıkıştırılmış küçücük yazıları unutun. Temel hükümleri GitHub üzerinde bulabilirsiniz; bu bile şeffaflıklarını gösterir; GitHub üzerindeki dokümanların değiştirilmesi için söz konusu işlemi tüm topluluğun görmesi gerekir.

Bu anlaşmalar, işletmelerin yaptıkları araştırmalar nedeniyle araştırmacıları cezalandırmak yerine, güvenlik açığını anlayıp gidermek için onlarla birlikte çalışmaya ve ürünlerinin güvenliğine yaptıkları katkıyı fark etmeye teşvik eder. Öte yandan bu anlaşmalar, araştırmacuların tespit ettikleri güvenlik açıkları ile ilgili olarak sorumlu davranmalarını — sorun giderilmeden önce kamuya açıklamamalarını, eriştikleri verileri kötüye kullanmamalarını, tedarikçilerden şantajla para sızdırmamalarını sağlar ve buna benzer bir çok olumlu etkiye sahiptir.

Özetleyecek olursak Disclose.io temel olarak der ki: “Saygıdeğer araştırmacılar ve işletmeler, nazik davranmanız ikinizin de yararına olur.” Bu beyana tamamen katılıyoruz ve bu nedenle, Disclose.io hareketini destekliyor ve ürünlerimizde zayıf noktalar bulmak isteyen araştırmacılar için güvenli bir liman sağlıyoruz.

Bundan şüphesiz müşterilerimiz de faydalanacaktır. Bir ürün veya hizmet, güvenlik araştırmacıları tarafından ne kadar incelenirse, o kadar güvenli hale gelir. Güvenlik çözümleri için mümkün olduğunca güvenli olmak kesinlikle olmazda olmazdır.