Prodávající - Vendor-sec

vendor-sec byl seznam elektronických adres vyhrazeno pro distributory operačních systémů využívajících (ale ne nutně výhradně) zdarma a open-source software. Seznam byl použit k diskusi o potenciálních zranitelnostech zabezpečení distribučních prvků (jádra, knihoven, aplikací) a ke koordinaci vydávání aktualizací zabezpečení členy.^[1]^[2]

Od března 2011, po bezpečnostním kompromisu, se vendor-sec již nepoužívá.^[3] Jsou zvažovány možné alternativy.

Členy seznamu byli zástupci různých Linuxové distribuce, stejně jako řada BSD distribuce. Seznam nerozlišoval mezi obchodními a nekomerčními prodejci.

Seznam adres byl nemoderovaný, ale žádosti o členství byly ručně prověřovány, aby bylo zajištěno, že se může připojit pouze cílové publikum. To bylo provedeno, aby se zabránilo úniku potenciálně citlivých diskusí, protože členové dodavatelů měli přístup k informacím o zranitelnostech, než se stanou veřejnými.^[4] Postupy dodavatele odpovědné zveřejnění.

V rámci podmínek použití nemohly být informace objevené prostřednictvím vendor-sec dodavateli předem zveřejněny. Rovnováha mezi časem potřebným na analýzu problému a požadovanou důvěrností byla popsána jako „delikátní“^[5] a může způsobit frustraci („Going to vendor-sec ... vytváří neomluvitelné zpoždění, [váže] vás k mlčenlivosti.“)^[6]

Reference

externí odkazy

Informační stránka dodavatele na webu OSS-Security

[1] "dodavatelský seznam adresátů".

[2] „Red Hat Magazine:“ Zpráva o riziku: Tři roky Red Hat Enterprise Linux 4"".

[3] „Vendor-sec hosting a budoucnost uzavřených seznamů“.

[4] „Re: Důvod změny“.

[5] „Torvalds skrývá soukromý seznam zabezpečení Linuxu od dodavatele“.

[6] „Re: [stabilní] Linux 2.6.25.10 (pokračovat)“.

[1]

[2]

[3]

[4]

[5]

[6]