Ранее компания уведомляла сторонних разработчиков об уязвимостях, но изменение политики формально кодифицирует политику компании в отношении раскрытия и выявления уязвимостей безопасности.
Программы раскрытия уязвимостей, или VDP, позволяют компаниям устанавливать правила взаимодействия для поиска и раскрытия ошибок безопасности. VDP также помогают раскрывать и публиковать уязвимости после исправления ошибки. Компании часто используют вознаграждение за обнаружение ошибок, чтобы платить хакерам, которые соблюдают правила компании в отношении отчетности и раскрытия информации.
Изменение политики не совсем альтруистично. Facebook, как и многие другие технологические компании, полагается на массу стороннего кода и библиотек с открытым исходным кодом. Но внесение изменений в письменной форме также предупреждает сторонних разработчиков, если они не исправят уязвимости своевременно.
Кейси Эллис, основатель и технический директор платформы для обнаружения уязвимостей Bugcrowd, сказал, что изменение политики становится все более популярным для компаний с «большой, ориентированной на пользователя сторонней поверхностью атаки», и повторяет аналогичные действия Atlassian, Google и Microsoft. .
Facebook заявил, что при обнаружении уязвимости сторонним разработчикам будет предоставлен 21 день на ответ и 90 дней на устранение проблем — общепринятые сроки для сообщения и устранения проблем с безопасностью. Компания заявляет, что приложит разумные усилия, чтобы найти подходящего контакта для сообщения об уязвимости, включая, помимо прочего, отправку сообщений электронной почты с отчетами о безопасности, регистрацию ошибок без конфиденциальной информации в средствах отслеживания ошибок или заполнение заявок в службу поддержки. Но компания заявила, что оставляет за собой право сообщить раньше, если уязвимость активно используется хакерами, или отложить ее раскрытие, если она согласна с тем, что для устранения проблемы требуется больше времени.
В новой политике особое внимание уделяется тому, как Facebook обрабатывает раскрытие проблем в стороннем коде. Если исследователи обнаружат уязвимость безопасности в Facebook или в его семействе приложений, они продолжат сообщать об этом в рамках существующей программы Bug Bounty.