Facebook’tan Güvenlik Açıkları ile İlgili Yeni Adım

Kurum içi geliştirilen Pysa ve Zoncolan gibi statik analiz araçları ile devasa kodlardaki açıkları tespit etmeye çalışan Facebook, buna rağmen düzensiz aralıklarla güvenlik zafiyetleri tespit ediyor. Facebook içinde yer alan tüm kodların şirkete özgü olmamasından dolayı, güvenlik açıklarını onarmak için gereken süre de değişebiliyor.

Geride kalan yıllarda kendi içindeki güvenlik zafiyetleri ile uğraşmanın yanı sıra üçüncü partilere de yardım eden sosyal medya ağı, geride kalan hafta itibarıyla üçüncü partilere yönelik yeni bir düzenleme başlattı ve bağlantılı olduğu üçüncü parti şirketlere ürünlerindeki güvenlik açıkları hakkında nasıl bilgilendirme yapılacağını duyurdu.

Güvenlik açığı bildirme politikası 

Facebook’un “zafiyet bildirme politikası” olarak belirlediği kurallar kapsamında, tespit edilen güvenlik sorunları belirlenecek bir aracı ile sorumlu üçüncü partiye iletilecek. Temas kurulduktan sonra Facebook, zafiyet hakkında gerekli raporlamayı yapacak. Eğer üçüncü parti 21 gün içerisinde raporu aldığını bildirmezse, zafiyetten etkilenebilecek tarafların kendi önlemlerini alması için detaylar kamuoyuyla paylaşılacak.

Raporlamayı teslim aldığını bildiren üçüncü partiler ise gerekli yamayı yapmak için 90 gün süreye sahip olacak. Söz konusu süre, satıcılara güvenlik zafiyetlerini bildiren analistler tarafından güvenlik yaması yapılması için verilen standart süre ile aynı.

Öte yandan Facebook’un gerekli durumlarda bu süreye ekleme yapabileceği düşünülüyor. Eğer verilen sürede yama üretilmezse zafiyetten etkilenebilecek tüketicilere bilgilendirmede bulunulacak. Facebook’un hiçbir raporlama veya süre vermeden zafiyeti açıklayacağı tek durum ise tehdidin tüketicileri anında riske attığı durumların tespiti.