पूर्ण प्रकटीकरण (कंप्यूटर सुरक्षा): Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
Line 1: Line 1:
{{short description|Policy in computer security}}
{{short description|Policy in computer security}}
{{about|vulnerability disclosure||Full disclosure (disambiguation)}}
{{about|vulnerability disclosure||Full disclosure (disambiguation)}}
[[ कंप्यूटर सुरक्षा ]] के क्षेत्र में, स्वतंत्र शोधकर्ता अधिकतर सॉफ़्टवेयर में ऐसी कमियों का पता लगाते हैं जिनका दुरुपयोग करके अनपेक्षित व्यवहार किया जा सकता है; इन दोषों को [[ भेद्यता (कंप्यूटिंग) ]] कहा जाता है। जिस प्रक्रिया से इन कमजोरियों का विश्लेषण तीसरे पक्ष के साथ साझा किया जाता है, वह बहुत विवाद का विषय है, और इसे शोधकर्ता की प्रकटीकरण नीति कहा जाता है। 'पूर्ण प्रकटीकरण' सॉफ्टवेयर भेद्यता के विश्लेषण को जितनी जल्दी हो सके प्रकाशित करने का अभ्यास है, जिससे  आँकड़े बिना किसी प्रतिबंध के सभी के लिए सुलभ हो जाता है। भेद्यताओं के बारे में व्यापक रूप से जानकारी प्रसारित करने का प्राथमिक उद्देश्य यह है कि संभावित पीड़ित उतने ही जानकार हों जितना कि उन पर प्रहार करने वाले।<ref name=exposing>{{cite web |last=Heiser|first=Jay |title=इन्फोसिक्योरिटी हाइप को एक्सपोज करना|archive-url=https://web.archive.org/web/20060328012516/http://infosecuritymag.techtarget.com/articles/january01/columns_curmudgeons_corner.shtml  |archive-date=28 March 2006|url=http://infosecuritymag.techtarget.com/articles/january01/columns_curmudgeons_corner.shtml |work=Information Security Mag |publisher=TechTarget |date=January 2001 |access-date=29 April 2013 }}</ref>
[[ कंप्यूटर सुरक्षा ]] के क्षेत्र में, स्वतंत्र शोधकर्ता अधिकतर सॉफ़्टवेयर में ऐसी कमियों का पता लगाते हैं जिनका दुरुपयोग करके अनपेक्षित व्यवहार किया जा सकता है; इन दोषों को [[ भेद्यता (कंप्यूटिंग) ]] कहा जाता है। जिस प्रक्रिया से इन कमजोरियों का विश्लेषण तीसरे पक्ष के साथ साझा किया जाता है, वह बहुत विवाद का विषय है, और इसे शोधकर्ता की प्रकटीकरण नीति कहा जाता है। 'पूर्ण प्रकटीकरण' सॉफ्टवेयर भेद्यता के विश्लेषण को जितनी जल्दी हो सके प्रकाशित करने का अभ्यास है, और जिससे  आँकड़े बिना किसी प्रतिबंध के सभी के लिए सुलभ हो जाता है। भेद्यताओं के बारे में व्यापक रूप से जानकारी प्रसारित करने का प्राथमिक उद्देश्य यह है कि संभावित पीड़ित उतने ही जानकार हों जितना कि उन पर प्रहार करने वाले हों। <ref name=exposing>{{cite web |last=Heiser|first=Jay |title=इन्फोसिक्योरिटी हाइप को एक्सपोज करना|archive-url=https://web.archive.org/web/20060328012516/http://infosecuritymag.techtarget.com/articles/january01/columns_curmudgeons_corner.shtml  |archive-date=28 March 2006|url=http://infosecuritymag.techtarget.com/articles/january01/columns_curmudgeons_corner.shtml |work=Information Security Mag |publisher=TechTarget |date=January 2001 |access-date=29 April 2013 }}</ref>
<!--  Dates seem correct what causes error?? -->
<!--  Dates seem correct what causes error?? -->
इस विषय पर अपने 2007 के निबंध में, [[ ब्रूस श्नेयर ]]ने पूर्ण प्रकटीकरण - सुरक्षा कमजोरियों के विवरण को सार्वजनिक करने का अभ्यास - एक शापित अच्छा विचार बताया। सुरक्षा में सुधार के लिए सार्वजनिक जांच ही एकमात्र विश्वसनीय उपाय  है, जबकि गोपनीयता ही हमें कम सुरक्षित बनाती है।<ref name="schneier">{{cite web|url=https://www.schneier.com/essay-146.html|title=शापित अच्छा विचार|last=Schneier|first=Bruce|date=January 2007|publisher=CSO Online|access-date=29 April 2013}}</ref> [[ लियोनार्ड गुलाब (हैकर) ]]हैकर), एक [[Index.php?title=इलेक्ट्रॉनिक डाक सूची|इलेक्ट्रॉनिक डाक सूची]]  के सह-निर्माता, जिसने सलाहों के प्रसार के लिए वास्तविक मंच बनने के लिए[[ बुगराया ]]को हटा दिया है, बताते हैं कि हम अस्पष्टता से सुरक्षा में विश्वास नहीं करते हैं, और जहां तक ​​​​हम जानते हैं, पूर्ण प्रकटीकरण है यह सुनिश्चित करने का एकमात्र उपाय है कि हर किसी की, न कि केवल अंदरूनी लोगों की, उस जानकारी तक पहुंच हो जिसकी हमें आवश्यकता है।<ref name=fulldisc>{{cite web |last=Rose |first=Leonard |title=पूरा खुलासा|url=https://lists.grok.org.uk/mailman/listinfo/full-disclosure |archive-url=https://wayback.archive-it.org/all/20101223024433/https://lists.grok.org.uk/mailman/listinfo/full-disclosure |url-status=dead |archive-date=23 December 2010 |work=A lightly-moderated mailing list for the discussion of security issues |access-date=29 April 2013 }}</ref>
इस विषय पर अपने 2007 के निबंध में, [[ ब्रूस श्नेयर ]]ने पूर्ण प्रकटीकरण - सुरक्षा कमजोरियों के विवरण को सार्वजनिक करने का अभ्यास - एक शापित अच्छा विचार बताया। सुरक्षा में सुधार के लिए सार्वजनिक जांच ही एकमात्र विश्वसनीय उपाय  है, जबकि गोपनीयता ही हमें कम सुरक्षित बनाती है।<ref name="schneier">{{cite web|url=https://www.schneier.com/essay-146.html|title=शापित अच्छा विचार|last=Schneier|first=Bruce|date=January 2007|publisher=CSO Online|access-date=29 April 2013}}</ref> [[ लियोनार्ड गुलाब (हैकर) ]]हैकर), एक [[Index.php?title=इलेक्ट्रॉनिक डाक सूची|इलेक्ट्रॉनिक डाक सूची]]  के सह-निर्माता, जिसने सलाहों के प्रसार के लिए वास्तविक मंच बनने के लिए[[ बुगराया ]]को हटा दिया है, बताते हैं कि हम अस्पष्टता से सुरक्षा में विश्वास नहीं करते हैं, और जहां तक ​​​​हम जानते हैं, पूर्ण प्रकटीकरण है यह सुनिश्चित करने का एकमात्र उपाय है कि हर किसी की, न कि केवल अंदरूनी लोगों की, उस जानकारी तक पहुंच हो जिसकी हमें आवश्यकता है।<ref name=fulldisc>{{cite web |last=Rose |first=Leonard |title=पूरा खुलासा|url=https://lists.grok.org.uk/mailman/listinfo/full-disclosure |archive-url=https://wayback.archive-it.org/all/20101223024433/https://lists.grok.org.uk/mailman/listinfo/full-disclosure |url-status=dead |archive-date=23 December 2010 |work=A lightly-moderated mailing list for the discussion of security issues |access-date=29 April 2013 }}</ref>
Line 8: Line 8:
== भेद्यता प्रकटीकरण विवाद ==
== भेद्यता प्रकटीकरण विवाद ==


संवेदनशील जानकारी के सार्वजनिक स्पष्टीकरण को लेकर विवाद कोई नया नहीं है। पूर्ण प्रकटीकरण का मुद्दा सबसे पहले 19वीं शताब्दी के एक विवाद में ताला बनाने के संदर्भ में उठाया गया था कि क्या ताला प्रणाली में कमजोरियों को ताला बनाने वाले समुदाय में गुप्त रखा जाना चाहिए, या जनता के सामने प्रकट किया जाना चाहिए।<ref name=hobbs>{{cite book|last=Hobbs|first=Alfred|title=''ताले और तिजोरियां: तालों का निर्माण|year=1853|publisher=Virtue & Co.|location=London}}</ref> आज, तीन प्रमुख प्रकटीकरण नीतियाँ हैं जिनके अंतर्गत अधिकांश अन्य को वर्गीकृत किया जा सकता है:<ref name=sans>{{cite web|last=Shepherd|first=Stephen|title=भेद्यता प्रकटीकरण: हम उत्तरदायी प्रकटीकरण को कैसे परिभाषित करते हैं?|url=https://www.sans.org/reading_room/whitepapers/threats/define-responsible-disclosure_932|work=SANS GIAC SEC PRACTICAL VER. 1.4B (OPTION 1)|publisher=SANS Institute|access-date=29 April 2013}}</ref> गैर-प्रकटीकरण समझौता, उत्तरदायित्वपूर्ण प्रकटीकरण और पूर्ण प्रकटीकरण।
संवेदनशील जानकारी के सार्वजनिक स्पष्टीकरण को लेकर विवाद कोई नया नहीं है। पूर्ण प्रकटीकरण का मुद्दा सबसे पहले 19वीं शताब्दी के एक विवाद में ताला बनाने के संदर्भ में उठाया गया था कि क्या ताला प्रणाली में कमजोरियों को ताला बनाने वाले समुदाय में गुप्त रखा जाना चाहिए, या फिर जनता के सामने प्रकट किया जाना चाहिए।<ref name=hobbs>{{cite book|last=Hobbs|first=Alfred|title=''ताले और तिजोरियां: तालों का निर्माण|year=1853|publisher=Virtue & Co.|location=London}}</ref> आज, तीन प्रमुख प्रकटीकरण नीतियाँ हैं जिनके अंतर्गत अधिकांश अन्य को वर्गीकृत किया जा सकता है:<ref name=sans>{{cite web|last=Shepherd|first=Stephen|title=भेद्यता प्रकटीकरण: हम उत्तरदायी प्रकटीकरण को कैसे परिभाषित करते हैं?|url=https://www.sans.org/reading_room/whitepapers/threats/define-responsible-disclosure_932|work=SANS GIAC SEC PRACTICAL VER. 1.4B (OPTION 1)|publisher=SANS Institute|access-date=29 April 2013}}</ref> गैर-प्रकटीकरण समझौता, उत्तरदायित्वपूर्ण प्रकटीकरण और पूर्ण प्रकटीकरण।


भेद्यता अनुसंधान में प्रमुख हितधारकों की अपनी प्रकटीकरण नीतियों को विभिन्न प्रेरणाओं द्वारा आकार दिया गया है, अभियान, विपणन या अपनी पसंदीदा नीति को अपनाने और असहमति रखने वालों को दंडित करने के लिए पैरवी करना असामान्य नहीं है। कई प्रमुख सुरक्षा शोधकर्ता पूर्ण प्रकटीकरण के पक्ष में हैं, जबकि अधिकांश विक्रेता समन्वित प्रकटीकरण को प्राथमिकता देते हैं। गैर-प्रकटीकरण अधिकांशतः व्यावसायिक शोषण करने वाले विक्रेताओं और हैकर (कंप्यूटर सुरक्षा) #ब्लैक हैट द्वारा पसंद किया जाता है।<ref name="Moore2005">{{cite book|last=Moore|first=Robert|title=साइबर अपराध: उच्च प्रौद्योगिकी कंप्यूटर अपराध की जांच|year=2005|publisher=Matthew Bender & Company|isbn=1-59345-303-5|page=258}}</ref>
भेद्यता अनुसंधान में प्रमुख हितधारकों की अपनी प्रकटीकरण नीतियों को विभिन्न प्रेरणाओं द्वारा आकार दिया गया है, अभियान, विपणन या अपनी पसंदीदा नीति को अपनाने और असहमति रखने वालों को दंडित करने के लिए पैरवी करना असामान्य नहीं है। कई प्रमुख सुरक्षा शोधकर्ता पूर्ण प्रकटीकरण के पक्ष में हैं, जबकि अधिकांश विक्रेता समन्वित प्रकटीकरण को प्राथमिकता देते हैं। गैर-प्रकटीकरण अधिकांशतः व्यावसायिक शोषण करने वाले विक्रेताओं और हैकर (कंप्यूटर सुरक्षा) #ब्लैक हैट द्वारा पसंद किया जाता है।<ref name="Moore2005">{{cite book|last=Moore|first=Robert|title=साइबर अपराध: उच्च प्रौद्योगिकी कंप्यूटर अपराध की जांच|year=2005|publisher=Matthew Bender & Company|isbn=1-59345-303-5|page=258}}</ref>
Line 15: Line 15:
=== समन्वित भेद्यता प्रकटीकरण ===
=== समन्वित भेद्यता प्रकटीकरण ===


समन्वित भेद्यता प्रकटीकरण एक नीति है जिसके अधीन शोधकर्ता एक समन्वयक प्राधिकरण को कमजोरियों की आख्या करने के लिए सहमत होते हैं, जो फिर विक्रेता को आख्या करता है, सुधारों और कमी को पथ मार्ग करता है, और जनता सहित हितधारकों के साथ सूचना के प्रकटीकरण का समन्वय करता है।<ref>{{Cite web|url=https://www.ceps.eu/ceps-publications/software-vulnerability-disclosure-europe-technology-policies-and-legal-challenges/|title=यूरोप में सॉफ़्टवेयर भेद्यता प्रकटीकरण|date=2018-06-27|website=CEPS|language=en-US|access-date=2019-10-18}}</ref><ref>{{Cite journal |last=Weulen Kranenbarg |first=Marleen |last2=Holt |first2=Thomas J. |last3=van der Ham |first3=Jeroen |date=2018-11-19 |title=दूत को गोली मत मारो! समन्वित भेद्यता प्रकटीकरण पर एक अपराध विज्ञान और कंप्यूटर विज्ञान परिप्रेक्ष्य|url=https://crimesciencejournal.biomedcentral.com/articles/10.1186/s40163-018-0090-8 |journal=Crime Science |language=en |volume=7 |issue=1 |pages=16 |doi=10.1186/s40163-018-0090-8 |issn=2193-7680}}</ref> कुछ मामलों में समन्वयक प्राधिकारी विक्रेता होता है। समन्वित प्रकटीकरण का आधार अधिकांशतः यह है कि किसी को भी भेद्यता के बारे में तब तक सूचित नहीं किया जाना चाहिए जब तक कि सॉफ़्टवेयर विक्रेता यह न कहे कि यह समय है।<ref>{{Cite web|url=https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html|title=प्रोजेक्ट ज़ीरो: भेद्यता प्रकटीकरण अक्सर पूछे जाने वाले प्रश्न|website=Project Zero|access-date=2019-10-18}}</ref><ref name=rfc>{{cite web|last=Christey|first=Steve|title=जिम्मेदार भेद्यता प्रकटीकरण प्रक्रिया|url=https://tools.ietf.org/html/draft-christey-wysopal-vuln-disclosure-00|publisher=IETF|access-date=29 April 2013|page=3.3.2}}</ref> जबकि इस नीति के अधिकतर अपवाद या विविधताएं होती हैं, वितरण शुरू में सीमित होना चाहिए और विक्रेताओं को गैर-सार्वजनिक अनुसंधान के लिए विशेषाधिकार प्राप्त पहुंच प्रदान की जाती है।
समन्वित भेद्यता प्रकटीकरण एक ऐसी नीति है जिसके अधीन शोधकर्ता एक समन्वयक प्राधिकरण को कमजोरियों की आख्या करने के लिए सहमत होते हैं, जो फिर विक्रेता को आख्या करता है, सुधारों और कमी को पथ मार्ग करता है, और जनता सहित हितधारकों के साथ सूचना के प्रकटीकरण का समन्वय करता है।<ref>{{Cite web|url=https://www.ceps.eu/ceps-publications/software-vulnerability-disclosure-europe-technology-policies-and-legal-challenges/|title=यूरोप में सॉफ़्टवेयर भेद्यता प्रकटीकरण|date=2018-06-27|website=CEPS|language=en-US|access-date=2019-10-18}}</ref><ref>{{Cite journal |last=Weulen Kranenbarg |first=Marleen |last2=Holt |first2=Thomas J. |last3=van der Ham |first3=Jeroen |date=2018-11-19 |title=दूत को गोली मत मारो! समन्वित भेद्यता प्रकटीकरण पर एक अपराध विज्ञान और कंप्यूटर विज्ञान परिप्रेक्ष्य|url=https://crimesciencejournal.biomedcentral.com/articles/10.1186/s40163-018-0090-8 |journal=Crime Science |language=en |volume=7 |issue=1 |pages=16 |doi=10.1186/s40163-018-0090-8 |issn=2193-7680}}</ref> तथा कुछ मामलों में समन्वयक प्राधिकारी विक्रेता होता है। समन्वित प्रकटीकरण का आधार अधिकांशतः यह है कि किसी को भी भेद्यता के बारे में तब तक सूचित नहीं किया जाना चाहिए जब तक कि सॉफ़्टवेयर विक्रेता यह न कहे कि यह समय है।<ref>{{Cite web|url=https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html|title=प्रोजेक्ट ज़ीरो: भेद्यता प्रकटीकरण अक्सर पूछे जाने वाले प्रश्न|website=Project Zero|access-date=2019-10-18}}</ref><ref name=rfc>{{cite web|last=Christey|first=Steve|title=जिम्मेदार भेद्यता प्रकटीकरण प्रक्रिया|url=https://tools.ietf.org/html/draft-christey-wysopal-vuln-disclosure-00|publisher=IETF|access-date=29 April 2013|page=3.3.2}}</ref> जबकि इस नीति के अधिकतर अपवाद या विविधताएं होती हैं, और वितरण शुरू में सीमित होना चाहिए और विक्रेताओं को गैर-सार्वजनिक अनुसंधान के लिए विशेषाधिकार प्राप्त पहुंच प्रदान की जाती है।


इस दृष्टिकोण का मूल नाम "जिम्मेदार प्रकटीकरण" था, जो माइक्रोसॉफ्ट सुरक्षा प्रबंधक स्कॉट कल्प के निबंध "इट्स टाइम टू एंड इंफॉर्मेशन एनार्की" पर आधारित था।<ref name="culp">{{cite web |last=Culp |first=Scott |title=सूचना अराजकता को समाप्त करने का समय आ गया है|url=http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/noarch.asp |work=Technet Security |publisher=Microsoft TechNet |access-date=29 April 2013 |url-status=dead |archive-url=https://web.archive.org/web/20011109045330/http://www.microsoft.com/technet/treeview/default.asp?url=%2Ftechnet%2Fcolumns%2Fsecurity%2Fnoarch.asp |archive-date=November 9, 2001 }}</ref> (पूर्ण प्रकटीकरण का वर्णन करते हुए)। माइक्रोसॉफ्ट ने बाद में "समन्वित भेद्यता प्रकटीकरण" (सीवीडी) के पक्ष में इस शब्द को चरणबद्ध रूप से समाप्त करने का आह्वान किया।<ref name="co-ord">{{cite web|last=Goodin|first=Dan|title=Microsoft सभी कर्मियों पर सुरक्षा प्रकटीकरण नीति लागू करता है|url=https://www.theregister.co.uk/2011/04/19/microsoft_vulnerability_disclosure_policy/print.html|work=The Register|access-date=29 April 2013}}</ref><ref name="mssec" />
इस दृष्टिकोण का मूल नाम "जिम्मेदार प्रकटीकरण" था, जो माइक्रोसॉफ्ट सुरक्षा प्रबंधक स्कॉट कल्प के निबंध "इट्स टाइम टू एंड इंफॉर्मेशन एनार्की" पर आधारित था।<ref name="culp">{{cite web |last=Culp |first=Scott |title=सूचना अराजकता को समाप्त करने का समय आ गया है|url=http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/noarch.asp |work=Technet Security |publisher=Microsoft TechNet |access-date=29 April 2013 |url-status=dead |archive-url=https://web.archive.org/web/20011109045330/http://www.microsoft.com/technet/treeview/default.asp?url=%2Ftechnet%2Fcolumns%2Fsecurity%2Fnoarch.asp |archive-date=November 9, 2001 }}</ref> (पूर्ण प्रकटीकरण का वर्णन करते हुए)। माइक्रोसॉफ्ट ने बाद में "समन्वित भेद्यता प्रकटीकरण" (सीवीडी) के पक्ष में इस शब्द को चरणबद्ध रूप से समाप्त करने का आह्वान किया।<ref name="co-ord">{{cite web|last=Goodin|first=Dan|title=Microsoft सभी कर्मियों पर सुरक्षा प्रकटीकरण नीति लागू करता है|url=https://www.theregister.co.uk/2011/04/19/microsoft_vulnerability_disclosure_policy/print.html|work=The Register|access-date=29 April 2013}}</ref><ref name="mssec" />


यद्यपि तर्क भिन्न होता है, कई चिकित्सकों का तर्क है कि अंत-उपयोगकर्ता विक्रेता से मार्गदर्शन या स्तंबक के बिना भेद्यता जानकारी तक पहुंच से लाभान्वित नहीं हो सकते हैं, इसलिए दुर्भावनापूर्ण अभिनेताओं के साथ अनुसंधान साझा करने का अनिष्ट  बहुत कम लाभ के लिए बहुत बड़ा है। जैसा कि माइक्रोसॉफ्ट समझाता है, [समन्वित प्रकटीकरण] यह सुनिश्चित करके सभी के सर्वोत्तम हितों की सेवा करता है कि ग्राहकों को सुरक्षा कमजोरियों के लिए व्यापक, उच्च-गुणवत्ता वाले आधुनिकीकरण प्राप्त हों, लेकिन आधुनिकीकरण विकसित होने के बीच में दुर्भावनापूर्ण हमलों के संपर्क में न आएं।<ref name="mssec">{{cite web|url=https://www.microsoft.com/security/msrc/report/disclosure.aspx|title=समन्वित भेद्यता प्रकटीकरण|last=Microsoft Security|website=[[Microsoft]] |url-status=live|archive-url=https://web.archive.org/web/20141216085920/http://download.microsoft.com/download/2/5/5/255EF667-218D-42B1-84B4-1A21F39BA167/CVD.docx|archive-date=2014-12-16|access-date=29 April 2013}}</ref>
यद्यपि तर्क भिन्न होता है, और कई चिकित्सकों का तर्क है कि अंत-उपयोगकर्ता विक्रेता से मार्गदर्शन या स्तंबक के बिना भेद्यता जानकारी तक पहुंच से लाभान्वित नहीं हो सकते हैं, तथा इसलिए दुर्भावनापूर्ण अभिनेताओं के साथ अनुसंधान साझा करने का अनिष्ट  बहुत कम लाभ के लिए बहुत बड़ा है। जैसा कि माइक्रोसॉफ्ट समझाता है, [समन्वित प्रकटीकरण] यह सुनिश्चित करके सभी के सर्वोत्तम हितों की सेवा करता है कि ग्राहकों को सुरक्षा कमजोरियों के लिए व्यापक, उच्च-गुणवत्ता वाले आधुनिकीकरण प्राप्त हों, लेकिन आधुनिकीकरण विकसित होने के बीच में दुर्भावनापूर्ण हमलों के संपर्क में न आएं।<ref name="mssec">{{cite web|url=https://www.microsoft.com/security/msrc/report/disclosure.aspx|title=समन्वित भेद्यता प्रकटीकरण|last=Microsoft Security|website=[[Microsoft]] |url-status=live|archive-url=https://web.archive.org/web/20141216085920/http://download.microsoft.com/download/2/5/5/255EF667-218D-42B1-84B4-1A21F39BA167/CVD.docx|archive-date=2014-12-16|access-date=29 April 2013}}</ref>




Line 32: Line 32:
* दुर्भावनापूर्ण शोधकर्ता जो दोष के बारे में भी जानते हैं, उनके पास दोष का दोहन जारी रखने के लिए एक लंबी अवधि है।
* दुर्भावनापूर्ण शोधकर्ता जो दोष के बारे में भी जानते हैं, उनके पास दोष का दोहन जारी रखने के लिए एक लंबी अवधि है।


एक विशिष्ट दोष या भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना नहीं है, भिन्न-भिन्न प्रेरणा वाले कई शोधकर्ता एक ही दोष को स्वतंत्र रूप से ढूंढ सकते हैं और करते हैं।
एक विशिष्ट दोष या भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना नहीं है, तथा भिन्न-भिन्न प्रेरणा वाले कई शोधकर्ता एक ही दोष को स्वतंत्र रूप से ढूंढ सकते हैं और करते हैं।


जनता के लिए भेद्यता की जानकारी उपलब्ध कराने का कोई मानक उपाय नहीं है, शोधकर्ता अधिकतर विषय, अकादमिक कागजात या उद्योग सम्मेलनों को समर्पित डाक सूचियों का उपयोग करते हैं।
जनता के लिए भेद्यता की जानकारी उपलब्ध कराने का कोई मानक उपाय नहीं है, शोधकर्ता अधिकतर विषय, अकादमिक कागजात या उद्योग सम्मेलनों को समर्पित डाक सूचियों का उपयोग करते हैं।
Line 40: Line 40:
गैर-प्रकटीकरण नीति है कि भेद्यता जानकारी साझा नहीं की जानी चाहिए, या केवल गैर-प्रकटीकरण समझौते (या तो अनुबंध या अनौपचारिक रूप से) के अधीन साझा की जानी चाहिए।
गैर-प्रकटीकरण नीति है कि भेद्यता जानकारी साझा नहीं की जानी चाहिए, या केवल गैर-प्रकटीकरण समझौते (या तो अनुबंध या अनौपचारिक रूप से) के अधीन साझा की जानी चाहिए।


गैर-प्रकटीकरण के सामान्य समर्थकों में व्यावसायिक शोषण करने वाले विक्रेता, शोधकर्ता सम्मिलित हैं जो अपनी कमियों का लाभ उठाने का विचार रखते हैं,<ref name=sans />और [[ अस्पष्टता के माध्यम से सुरक्षा |अस्पष्टता के माध्यम से सुरक्षा]] के समर्थक।
गैर-प्रकटीकरण के सामान्य समर्थकों में व्यावसायिक शोषण करने वाले विक्रेता, शोधकर्ता सम्मिलित हैं जो कि अपनी कमियों का लाभ उठाने का विचार रखते हैं,<ref name=sans />और [[ अस्पष्टता के माध्यम से सुरक्षा |अस्पष्टता के माध्यम से सुरक्षा]] के समर्थक।


=== विवाद ===
=== विवाद ===
Line 48: Line 48:
समन्वित प्रकटीकरण के पक्ष में शोधकर्ताओं का मानना ​​है कि उपयोगकर्ता विक्रेता के मार्गदर्शन के बिना भेद्यता के उन्नत ज्ञान का उपयोग नहीं कर सकते हैं, और भेद्यता जानकारी के वितरण को सीमित करके बहुमत को सबसे अच्छी सेवा दी जाती है। अधिवक्ताओं का तर्क है कि कम कुशलप्रहार वर इस जानकारी का उपयोग परिष्कृत हमलों को करने के लिए कर सकते हैं जो अन्यथा उनकी क्षमता से परे होगा, और संभावित लाभ पुरुषवादी अभिनेताओं द्वारा होने वाले संभावित नुकसान से अधिक नहीं है। केवल जब विक्रेता ने मार्गदर्शन तैयार किया है कि सबसे अपरिष्कृत उपयोगकर्ता भी पचा सकते हैं, तो जानकारी को सार्वजनिक किया जाना चाहिए।
समन्वित प्रकटीकरण के पक्ष में शोधकर्ताओं का मानना ​​है कि उपयोगकर्ता विक्रेता के मार्गदर्शन के बिना भेद्यता के उन्नत ज्ञान का उपयोग नहीं कर सकते हैं, और भेद्यता जानकारी के वितरण को सीमित करके बहुमत को सबसे अच्छी सेवा दी जाती है। अधिवक्ताओं का तर्क है कि कम कुशलप्रहार वर इस जानकारी का उपयोग परिष्कृत हमलों को करने के लिए कर सकते हैं जो अन्यथा उनकी क्षमता से परे होगा, और संभावित लाभ पुरुषवादी अभिनेताओं द्वारा होने वाले संभावित नुकसान से अधिक नहीं है। केवल जब विक्रेता ने मार्गदर्शन तैयार किया है कि सबसे अपरिष्कृत उपयोगकर्ता भी पचा सकते हैं, तो जानकारी को सार्वजनिक किया जाना चाहिए।


यह तर्क मानता है कि भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना है, केवल एक व्यक्ति भेद्यता की खोज कर सकता है। कमजोरियों के एक साथ खोजे जाने के कई उदाहरण हैं, अधिकतर अन्य शोधकर्ताओं द्वारा ढूंढे जाने से पहले गोपनीयता में उनका शोषण किया जाता है।<ref name=ac1d>{{cite web|last=B1tch3z|first=Ac1d|title=Ac1db1tch3z बनाम x86_64 लिनक्स कर्नेल|url=http://seclists.org/fulldisclosure/2010/Sep/268|access-date=29 April 2013}}</ref> जबकि ऐसे उपयोगकर्ता उपस्थित हो सकते हैं जो भेद्यता की जानकारी से लाभ नहीं उठा सकते हैं, पूर्ण प्रकटीकरण अधिवक्ताओं का मानना ​​है कि यह अंतिम उपयोगकर्ताओं की बुद्धिमत्ता के लिए एक अवमानना ​​​​प्रदर्शित करता है। यद्यपि यह सच है कि कुछ उपयोगकर्ता भेद्यता की जानकारी से लाभान्वित नहीं हो सकते हैं, यदि वे अपने संजाल की सुरक्षा से चिंतित हैं तो वे उनकी सहायता के लिए एक विशेषज्ञ को नियुक्त करने की स्थिति में हैं जैसे आप एक कार के साथ मदद करने के लिए एक कारीगर को नियुक्त करते हैं।
यह तर्क मानता है कि भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना है, और केवल एक व्यक्ति भेद्यता की खोज कर सकता है। तथा कमजोरियों के एक साथ खोजे जाने के कई उदाहरण हैं, अधिकतर अन्य शोधकर्ताओं द्वारा ढूंढे जाने से पहले गोपनीयता में उनका शोषण किया जाता है।<ref name=ac1d>{{cite web|last=B1tch3z|first=Ac1d|title=Ac1db1tch3z बनाम x86_64 लिनक्स कर्नेल|url=http://seclists.org/fulldisclosure/2010/Sep/268|access-date=29 April 2013}}</ref> जबकि ऐसे उपयोगकर्ता उपस्थित हो सकते हैं जो कि भेद्यता की जानकारी से लाभ नहीं उठा सकते हैं, और पूर्ण प्रकटीकरण अधिवक्ताओं का मानना ​​है कि यह अंतिम उपयोगकर्ताओं की बुद्धिमत्ता के लिए एक अवमानना ​​​​प्रदर्शित करता है। यद्यपि यह सच है कि कुछ उपयोगकर्ता भेद्यता की जानकारी से लाभान्वित नहीं हो सकते हैं, यदि वे अपने संजाल की सुरक्षा से चिंतित हैं तो वे उनकी सहायता के लिए एक विशेषज्ञ को नियुक्त करने की स्थिति में हैं जैसे कि आप एक कार के साथ मदद करने के लिए एक कारीगर को नियुक्त करते हैं।


==== गैर प्रकटीकरण के खिलाफ तर्क ====
==== गैर प्रकटीकरण के खिलाफ तर्क ====
Line 56: Line 56:
गैर-प्रकटीकरण का अभ्यास करने वाले शोधकर्ता सामान्यतः सुरक्षा में सुधार या संजाल की सुरक्षा से संबंधित नहीं होते हैं। यद्यपि, कुछ समर्थक {{who?|date=June 2022}} तर्क देते हैं कि वे केवल विक्रेताओं की सहायता नहीं करना चाहते हैं, और दूसरों को नुकसान पहुँचाने का कोई विचार नहीं होने का दावा करते हैं।
गैर-प्रकटीकरण का अभ्यास करने वाले शोधकर्ता सामान्यतः सुरक्षा में सुधार या संजाल की सुरक्षा से संबंधित नहीं होते हैं। यद्यपि, कुछ समर्थक {{who?|date=June 2022}} तर्क देते हैं कि वे केवल विक्रेताओं की सहायता नहीं करना चाहते हैं, और दूसरों को नुकसान पहुँचाने का कोई विचार नहीं होने का दावा करते हैं।


जबकि पूर्ण और समन्वित प्रकटीकरण अधिवक्ता समान लक्ष्यों और प्रेरणाओं की घोषणा करते हैं, केवल इस बात पर असहमत होते हैं कि उन्हें कैसे प्राप्त किया जाए, गैर-प्रकटीकरण पूरी तरह से असंगत है।
जबकि पूर्ण और समन्वित प्रकटीकरण अधिवक्ता समान लक्ष्यों और प्रेरणाओं की घोषणा करते हैं, और केवल इस बात पर असहमत होते हैं कि उन्हें कैसे प्राप्त किया जाए, गैर-प्रकटीकरण पूरी तरह से असंगत है।





Revision as of 09:22, 8 December 2022

कंप्यूटर सुरक्षा के क्षेत्र में, स्वतंत्र शोधकर्ता अधिकतर सॉफ़्टवेयर में ऐसी कमियों का पता लगाते हैं जिनका दुरुपयोग करके अनपेक्षित व्यवहार किया जा सकता है; इन दोषों को भेद्यता (कंप्यूटिंग) कहा जाता है। जिस प्रक्रिया से इन कमजोरियों का विश्लेषण तीसरे पक्ष के साथ साझा किया जाता है, वह बहुत विवाद का विषय है, और इसे शोधकर्ता की प्रकटीकरण नीति कहा जाता है। 'पूर्ण प्रकटीकरण' सॉफ्टवेयर भेद्यता के विश्लेषण को जितनी जल्दी हो सके प्रकाशित करने का अभ्यास है, और जिससे आँकड़े बिना किसी प्रतिबंध के सभी के लिए सुलभ हो जाता है। भेद्यताओं के बारे में व्यापक रूप से जानकारी प्रसारित करने का प्राथमिक उद्देश्य यह है कि संभावित पीड़ित उतने ही जानकार हों जितना कि उन पर प्रहार करने वाले हों। [1] इस विषय पर अपने 2007 के निबंध में, ब्रूस श्नेयर ने पूर्ण प्रकटीकरण - सुरक्षा कमजोरियों के विवरण को सार्वजनिक करने का अभ्यास - एक शापित अच्छा विचार बताया। सुरक्षा में सुधार के लिए सार्वजनिक जांच ही एकमात्र विश्वसनीय उपाय है, जबकि गोपनीयता ही हमें कम सुरक्षित बनाती है।[2] लियोनार्ड गुलाब (हैकर) हैकर), एक इलेक्ट्रॉनिक डाक सूची के सह-निर्माता, जिसने सलाहों के प्रसार के लिए वास्तविक मंच बनने के लिएबुगराया को हटा दिया है, बताते हैं कि हम अस्पष्टता से सुरक्षा में विश्वास नहीं करते हैं, और जहां तक ​​​​हम जानते हैं, पूर्ण प्रकटीकरण है यह सुनिश्चित करने का एकमात्र उपाय है कि हर किसी की, न कि केवल अंदरूनी लोगों की, उस जानकारी तक पहुंच हो जिसकी हमें आवश्यकता है।[3]


भेद्यता प्रकटीकरण विवाद

संवेदनशील जानकारी के सार्वजनिक स्पष्टीकरण को लेकर विवाद कोई नया नहीं है। पूर्ण प्रकटीकरण का मुद्दा सबसे पहले 19वीं शताब्दी के एक विवाद में ताला बनाने के संदर्भ में उठाया गया था कि क्या ताला प्रणाली में कमजोरियों को ताला बनाने वाले समुदाय में गुप्त रखा जाना चाहिए, या फिर जनता के सामने प्रकट किया जाना चाहिए।[4] आज, तीन प्रमुख प्रकटीकरण नीतियाँ हैं जिनके अंतर्गत अधिकांश अन्य को वर्गीकृत किया जा सकता है:[5] गैर-प्रकटीकरण समझौता, उत्तरदायित्वपूर्ण प्रकटीकरण और पूर्ण प्रकटीकरण।

भेद्यता अनुसंधान में प्रमुख हितधारकों की अपनी प्रकटीकरण नीतियों को विभिन्न प्रेरणाओं द्वारा आकार दिया गया है, अभियान, विपणन या अपनी पसंदीदा नीति को अपनाने और असहमति रखने वालों को दंडित करने के लिए पैरवी करना असामान्य नहीं है। कई प्रमुख सुरक्षा शोधकर्ता पूर्ण प्रकटीकरण के पक्ष में हैं, जबकि अधिकांश विक्रेता समन्वित प्रकटीकरण को प्राथमिकता देते हैं। गैर-प्रकटीकरण अधिकांशतः व्यावसायिक शोषण करने वाले विक्रेताओं और हैकर (कंप्यूटर सुरक्षा) #ब्लैक हैट द्वारा पसंद किया जाता है।[6]


समन्वित भेद्यता प्रकटीकरण

समन्वित भेद्यता प्रकटीकरण एक ऐसी नीति है जिसके अधीन शोधकर्ता एक समन्वयक प्राधिकरण को कमजोरियों की आख्या करने के लिए सहमत होते हैं, जो फिर विक्रेता को आख्या करता है, सुधारों और कमी को पथ मार्ग करता है, और जनता सहित हितधारकों के साथ सूचना के प्रकटीकरण का समन्वय करता है।[7][8] तथा कुछ मामलों में समन्वयक प्राधिकारी विक्रेता होता है। समन्वित प्रकटीकरण का आधार अधिकांशतः यह है कि किसी को भी भेद्यता के बारे में तब तक सूचित नहीं किया जाना चाहिए जब तक कि सॉफ़्टवेयर विक्रेता यह न कहे कि यह समय है।[9][10] जबकि इस नीति के अधिकतर अपवाद या विविधताएं होती हैं, और वितरण शुरू में सीमित होना चाहिए और विक्रेताओं को गैर-सार्वजनिक अनुसंधान के लिए विशेषाधिकार प्राप्त पहुंच प्रदान की जाती है।

इस दृष्टिकोण का मूल नाम "जिम्मेदार प्रकटीकरण" था, जो माइक्रोसॉफ्ट सुरक्षा प्रबंधक स्कॉट कल्प के निबंध "इट्स टाइम टू एंड इंफॉर्मेशन एनार्की" पर आधारित था।[11] (पूर्ण प्रकटीकरण का वर्णन करते हुए)। माइक्रोसॉफ्ट ने बाद में "समन्वित भेद्यता प्रकटीकरण" (सीवीडी) के पक्ष में इस शब्द को चरणबद्ध रूप से समाप्त करने का आह्वान किया।[12][13]

यद्यपि तर्क भिन्न होता है, और कई चिकित्सकों का तर्क है कि अंत-उपयोगकर्ता विक्रेता से मार्गदर्शन या स्तंबक के बिना भेद्यता जानकारी तक पहुंच से लाभान्वित नहीं हो सकते हैं, तथा इसलिए दुर्भावनापूर्ण अभिनेताओं के साथ अनुसंधान साझा करने का अनिष्ट बहुत कम लाभ के लिए बहुत बड़ा है। जैसा कि माइक्रोसॉफ्ट समझाता है, [समन्वित प्रकटीकरण] यह सुनिश्चित करके सभी के सर्वोत्तम हितों की सेवा करता है कि ग्राहकों को सुरक्षा कमजोरियों के लिए व्यापक, उच्च-गुणवत्ता वाले आधुनिकीकरण प्राप्त हों, लेकिन आधुनिकीकरण विकसित होने के बीच में दुर्भावनापूर्ण हमलों के संपर्क में न आएं।[13]


पूर्ण प्रकटीकरण

पूर्ण प्रकटीकरण भेद्यता पर बिना किसी प्रतिबंध के सूचना को जल्द से जल्द प्रकाशित करने की नीति है, जिससे जानकारी को बिना किसी प्रतिबंध के सामान्य जनता के लिए सुलभ बनाया जा सके। सामान्य तौर पर, पूर्ण प्रकटीकरण के समर्थकों का मानना ​​है कि स्वतंत्र रूप से उपलब्ध भेद्यता अनुसंधान के लाभ हानियों से अधिक हैं, जबकि विरोधी वितरण को सीमित करना पसंद करते हैं।

भेद्यता जानकारी की मुफ्त उपलब्धता उपयोगकर्ताओं और प्रशासकों को अपने प्रणाली में कमजोरियों को समझने और प्रतिक्रिया करने की अनुमति देती है, और ग्राहकों को विक्रेताओं को उन कमजोरियों को ठीक करने के लिए दबाव डालने की अनुमति देती है जो अन्यथा हल करने के लिए कोई प्रोत्साहन प्रकट नहीं कर सकते हैं। समन्वित प्रकटीकरण के साथ कुछ मूलभूत समस्याएं हैं जिनका पूर्ण प्रकटीकरण समाधान कर सकता है।

  • यदि ग्राहक कमजोरियों के बारे में नहीं जानते हैं, तो वे स्तंबक का अनुरोध नहीं कर सकते हैं, और विक्रेताओं को कमजोरियों को दूर करने के लिए कोई आर्थिक प्रोत्साहन नहीं मिलता है।
  • प्रशासक अपने प्रणाली के हानियों के बारे में सूचित निर्णय नहीं ले सकते, क्योंकि कमजोरियों पर जानकारी प्रतिबंधित है।
  • दुर्भावनापूर्ण शोधकर्ता जो दोष के बारे में भी जानते हैं, उनके पास दोष का दोहन जारी रखने के लिए एक लंबी अवधि है।

एक विशिष्ट दोष या भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना नहीं है, तथा भिन्न-भिन्न प्रेरणा वाले कई शोधकर्ता एक ही दोष को स्वतंत्र रूप से ढूंढ सकते हैं और करते हैं।

जनता के लिए भेद्यता की जानकारी उपलब्ध कराने का कोई मानक उपाय नहीं है, शोधकर्ता अधिकतर विषय, अकादमिक कागजात या उद्योग सम्मेलनों को समर्पित डाक सूचियों का उपयोग करते हैं।

गैर प्रकटीकरण

गैर-प्रकटीकरण नीति है कि भेद्यता जानकारी साझा नहीं की जानी चाहिए, या केवल गैर-प्रकटीकरण समझौते (या तो अनुबंध या अनौपचारिक रूप से) के अधीन साझा की जानी चाहिए।

गैर-प्रकटीकरण के सामान्य समर्थकों में व्यावसायिक शोषण करने वाले विक्रेता, शोधकर्ता सम्मिलित हैं जो कि अपनी कमियों का लाभ उठाने का विचार रखते हैं,[5]और अस्पष्टता के माध्यम से सुरक्षा के समर्थक।

विवाद

समन्वित प्रकटीकरण के विरुद्ध तर्क

समन्वित प्रकटीकरण के पक्ष में शोधकर्ताओं का मानना ​​है कि उपयोगकर्ता विक्रेता के मार्गदर्शन के बिना भेद्यता के उन्नत ज्ञान का उपयोग नहीं कर सकते हैं, और भेद्यता जानकारी के वितरण को सीमित करके बहुमत को सबसे अच्छी सेवा दी जाती है। अधिवक्ताओं का तर्क है कि कम कुशलप्रहार वर इस जानकारी का उपयोग परिष्कृत हमलों को करने के लिए कर सकते हैं जो अन्यथा उनकी क्षमता से परे होगा, और संभावित लाभ पुरुषवादी अभिनेताओं द्वारा होने वाले संभावित नुकसान से अधिक नहीं है। केवल जब विक्रेता ने मार्गदर्शन तैयार किया है कि सबसे अपरिष्कृत उपयोगकर्ता भी पचा सकते हैं, तो जानकारी को सार्वजनिक किया जाना चाहिए।

यह तर्क मानता है कि भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना है, और केवल एक व्यक्ति भेद्यता की खोज कर सकता है। तथा कमजोरियों के एक साथ खोजे जाने के कई उदाहरण हैं, अधिकतर अन्य शोधकर्ताओं द्वारा ढूंढे जाने से पहले गोपनीयता में उनका शोषण किया जाता है।[14] जबकि ऐसे उपयोगकर्ता उपस्थित हो सकते हैं जो कि भेद्यता की जानकारी से लाभ नहीं उठा सकते हैं, और पूर्ण प्रकटीकरण अधिवक्ताओं का मानना ​​है कि यह अंतिम उपयोगकर्ताओं की बुद्धिमत्ता के लिए एक अवमानना ​​​​प्रदर्शित करता है। यद्यपि यह सच है कि कुछ उपयोगकर्ता भेद्यता की जानकारी से लाभान्वित नहीं हो सकते हैं, यदि वे अपने संजाल की सुरक्षा से चिंतित हैं तो वे उनकी सहायता के लिए एक विशेषज्ञ को नियुक्त करने की स्थिति में हैं जैसे कि आप एक कार के साथ मदद करने के लिए एक कारीगर को नियुक्त करते हैं।

गैर प्रकटीकरण के खिलाफ तर्क

गैर-प्रकटीकरण का उपयोग सामान्यतः तब किया जाता है जब एक शोधकर्ता अपने दुश्मनों द्वारा संचालित कंप्यूटर प्रणाली पर प्रहार करने के लिए भेद्यता के ज्ञान का उपयोग करना चाहता है, या लाभ के लिए किसी तीसरे पक्ष के लिए भेद्यता के ज्ञान का व्यापार करना चाहता है, जो सामान्यतः अपने दुश्मनों पर प्रहार करने के लिए इसका उपयोग करेगा।

गैर-प्रकटीकरण का अभ्यास करने वाले शोधकर्ता सामान्यतः सुरक्षा में सुधार या संजाल की सुरक्षा से संबंधित नहीं होते हैं। यद्यपि, कुछ समर्थक[who?] तर्क देते हैं कि वे केवल विक्रेताओं की सहायता नहीं करना चाहते हैं, और दूसरों को नुकसान पहुँचाने का कोई विचार नहीं होने का दावा करते हैं।

जबकि पूर्ण और समन्वित प्रकटीकरण अधिवक्ता समान लक्ष्यों और प्रेरणाओं की घोषणा करते हैं, और केवल इस बात पर असहमत होते हैं कि उन्हें कैसे प्राप्त किया जाए, गैर-प्रकटीकरण पूरी तरह से असंगत है।


इस पेज में लापता आंतरिक लिंक की सूची

  • जिम्मेदार खुलासा
  • गैर प्रकटीकरण समझौता

संदर्भ

  1. Heiser, Jay (January 2001). "इन्फोसिक्योरिटी हाइप को एक्सपोज करना". Information Security Mag. TechTarget. Archived from the original on 28 March 2006. Retrieved 29 April 2013.
  2. Schneier, Bruce (January 2007). "शापित अच्छा विचार". CSO Online. Retrieved 29 April 2013.
  3. Rose, Leonard. "पूरा खुलासा". A lightly-moderated mailing list for the discussion of security issues. Archived from the original on 23 December 2010. Retrieved 29 April 2013.
  4. Hobbs, Alfred (1853). ताले और तिजोरियां: तालों का निर्माण. London: Virtue & Co.
  5. 5.0 5.1 Shepherd, Stephen. "भेद्यता प्रकटीकरण: हम उत्तरदायी प्रकटीकरण को कैसे परिभाषित करते हैं?". SANS GIAC SEC PRACTICAL VER. 1.4B (OPTION 1). SANS Institute. Retrieved 29 April 2013.
  6. Moore, Robert (2005). साइबर अपराध: उच्च प्रौद्योगिकी कंप्यूटर अपराध की जांच. Matthew Bender & Company. p. 258. ISBN 1-59345-303-5.
  7. "यूरोप में सॉफ़्टवेयर भेद्यता प्रकटीकरण". CEPS (in English). 2018-06-27. Retrieved 2019-10-18.
  8. Weulen Kranenbarg, Marleen; Holt, Thomas J.; van der Ham, Jeroen (2018-11-19). "दूत को गोली मत मारो! समन्वित भेद्यता प्रकटीकरण पर एक अपराध विज्ञान और कंप्यूटर विज्ञान परिप्रेक्ष्य". Crime Science (in English). 7 (1): 16. doi:10.1186/s40163-018-0090-8. ISSN 2193-7680.
  9. "प्रोजेक्ट ज़ीरो: भेद्यता प्रकटीकरण अक्सर पूछे जाने वाले प्रश्न". Project Zero. Retrieved 2019-10-18.
  10. Christey, Steve. "जिम्मेदार भेद्यता प्रकटीकरण प्रक्रिया". IETF. p. 3.3.2. Retrieved 29 April 2013.
  11. Culp, Scott. "सूचना अराजकता को समाप्त करने का समय आ गया है". Technet Security. Microsoft TechNet. Archived from the original on November 9, 2001. Retrieved 29 April 2013.
  12. Goodin, Dan. "Microsoft सभी कर्मियों पर सुरक्षा प्रकटीकरण नीति लागू करता है". The Register. Retrieved 29 April 2013.
  13. 13.0 13.1 Microsoft Security. "समन्वित भेद्यता प्रकटीकरण". Microsoft. Archived from the original on 2014-12-16. Retrieved 29 April 2013.
  14. B1tch3z, Ac1d. "Ac1db1tch3z बनाम x86_64 लिनक्स कर्नेल". Retrieved 29 April 2013.