Beveiligingslekken die onderzoekers van Yahoo in zowel opensourcesoftware als commerciële producten vinden zullen voortaan na 90 dagen worden geopenbaard, zo heeft de internetgigant laten weten. Yahoo heeft een eigen team dat continu penetratietests op de systemen en netwerken van het bedrijf uitvoert.
Tijdens dit proces worden soms kwetsbaarheden gevonden. Het gaat dan niet alleen om de software die Yahoo zelf heeft geschreven, maar ook populaire opensourceproducten en commerciële oplossingen. Zodra er een lek wordt gevonden verhelpt Yahoo dit meteen op de eigen systemen en waarschuwt daarna de ontwikkelaar en mogelijk andere partijen in de internetgemeenschap die met hetzelfde probleem te maken hebben.
Volgens Chris Rohlf van Yahoo is bij de ontdekking van dit soort problemen tijd erg belangrijk. Hoe sneller het risico kan worden verholpen, hoe minder schade een aanval kan aanrichten. Om ontwikkelaars aan te sporen tijdig met een update te komen zal Yahoo gevonden problemen daarom na 90 dagen openbaren. Zodoende hebben ontwikkelaars voldoende tijd om een update te ontwikkelen, te testen en uit te rollen. "Door dit korte tijdsvenster aan te houden zorgen we ervoor dat deze lekken zo snel als mogelijk worden gepatcht", aldus Rohlf.
Hij merkt op dat Yahoo wel het recht voorbehoudt om van deze 90 dagen af te wijken en bijvoorbeeld details eerder te openbaren of pas later bekend te maken, afhankelijk van zaken zoals actief misbruik of bekende dreigingen. Verder zal het internetbedrijf de "gepaste technische details" delen zodat andere partijen het risico voor hun omgeving kunnen beoordelen en maatregelen kunnen nemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.