Nieuws
image

Microsoft publiceert Top 100 van beveiligingsonderzoekers

dinsdag 8 augustus 2017, 09:44 door Redactie, 6 reacties
Laatst bijgewerkt: 08-08-2017, 11:07

Microsoft heeft een Top 100 van beveiligingsonderzoekers gepubliceerd die kwetsbaarheden in Windows en andere Microsoft-software rapporteerden en op de eerste plek staat een onderzoeker van Google. Volgens de softwaregigant spelen beveiligingsonderzoekers een belangrijke rol en wil het hen via de Top 100 voor hun inzet en samenwerking bedanken.

De lijst is samengesteld aan de hand van het aantal en de kwaliteit van de bugmeldingen, alsmede de ernst van de gevonden kwetsbaarheden. Het gaat daarbij alleen om onderzoekers die beveiligingslekken direct aan Microsoft rapporteerden. Onderzoekers die via een tussenpartij kwetsbaarheden melden zijn niet in het overzicht opgenomen. Op de eerste plek staat Mateusz Jurczyk van Google. Hij rapporteerde begin dit jaar een aantal ernstige problemen aan Microsoft.

Ook andere Google-onderzoekers zoals Natalie Silvanovich, Tavis Ormandy en James Forshaw zijn in het overzicht terug te vinden. Daarnaast staan ook de Nederlandse onderzoekers Berend-Jan Wever en Yorick Koster en de Belgische onderzoeker Ilja van Sprundel in het overzicht. "Gegeven het aantal individuen dat aan Microsoft rapporteert, is iedereen in de Top 100 een toptalent in de industrie", aldus Microsoft.

Reacties (6)
08-08-2017, 09:52 door Anoniem
Microsoft zelf is geen toptalent want niet in staat om kwetsbaarheden aan te pakken. Er wordt te vaak gezegd dat iets een feature is of dat er andere vereiste is. Ze leren er ook niet van, het is voorgekomen dat gerapporteerde kwetsbaarheden die eerst werden afgewezen in combinatie met andere een probleem vormen. Dat was onnodig als men het probleem meteen grondig had aangepakt.
08-08-2017, 10:13 door Anoniem
Nederlander Yorick Koster staat trouwens ook op de lijst (en vindt ook vaak leuke bugs). https://technet.microsoft.com/en-us/library/security/mt674627.aspx
08-08-2017, 10:19 door Anoniem
Politiek Correcte Google.
http://m.datanews.knack.be/ict/nieuws/google-ontslaat-ingenieur-voor-het-in-stand-houden-van-genderstereotypen/article-normal-885883.html
08-08-2017, 12:55 door Anoniem
Door Anoniem: Politiek Correcte Google.
http://m.datanews.knack.be/ict/nieuws/google-ontslaat-ingenieur-voor-het-in-stand-houden-van-genderstereotypen/article-normal-885883.html
Zo. Google staat er weer gekleurd op. Zegt er eentje de waarheid, is het weer niet goed.
08-08-2017, 16:24 door Anoniem
Door Anoniem:
Door Anoniem: Politiek Correcte Google.
http://m.datanews.knack.be/ict/nieuws/google-ontslaat-ingenieur-voor-het-in-stand-houden-van-genderstereotypen/article-normal-885883.html
Zo. Google staat er weer gekleurd op. Zegt er eentje de waarheid, is het weer niet goed.

Dat is niet de waarheid, het is zijn middeleeuwse visie. Kennelijk ook de jouwe. Laat je eens wat beter voorlichten door echte wetenschappers.
08-08-2017, 17:23 door Anoniem
Door Anoniem: Microsoft zelf is geen toptalent want niet in staat om kwetsbaarheden aan te pakken. Er wordt te vaak gezegd dat iets een feature is of dat er andere vereiste is. Ze leren er ook niet van, het is voorgekomen dat gerapporteerde kwetsbaarheden die eerst werden afgewezen in combinatie met andere een probleem vormen. Dat was onnodig als men het probleem meteen grondig had aangepakt.

En zo'n uitspraak is gebaseerd op?

Microsoft is als een van de eersten in de industrie, inmiddels ruim 15 jaar geleden, begonnen met het Trustworthy computing initiatief. Een van de 'producten' daarvan is Secure Development Lifecycle, inmiddels een breed door de industrie gedragen manier om software te ontwikkelen. (Google maar eens om te vinden wanneer bijvoorbeeld Adobe en Apple daar (pas) mee begonnen zijn.)

Ja maar er zitten nog altijd bugs en kwetsbaarheden in hun software. Ja, het blijft mensenwerk, maar er is ook echt wel wat veranderd in het speelveld. De makkelijke kwetsbaarheden zoals die lang geleden bijna elke dag gepubliceerd werden zijn nu alleen nog te vinden bij partijen die nog te weinig doen aan beveiliging. Vergelijk bijvoorbeeld eens wat vendors en producten op cvedetails.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure