पूर्ण प्रकटीकरण (कंप्यूटर सुरक्षा)

कंप्यूटर सुरक्षा के क्षेत्र में, स्वतंत्र शोधकर्ता अधिकतर सॉफ़्टवेयर में ऐसी कमियों का पता लगाते हैं जिनका दुरुपयोग करके अनपेक्षित व्यवहार किया जा सकता है; इन दोषों को  भेद्यता (कंप्यूटिंग)  कहा जाता है। जिस प्रक्रिया से इन कमजोरियों का विश्लेषण तीसरे पक्ष के साथ साझा किया जाता है, वह बहुत विवाद का विषय है, और इसे शोधकर्ता की प्रकटीकरण नीति कहा जाता है। 'पूर्ण प्रकटीकरण' सॉफ्टवेयर भेद्यता के विश्लेषण को जितनी जल्दी हो सके प्रकाशित करने का अभ्यास है, जिससे  आँकड़े बिना किसी प्रतिबंध के सभी के लिए सुलभ हो जाता है। भेद्यताओं के बारे में व्यापक रूप से जानकारी प्रसारित करने का प्राथमिक उद्देश्य यह है कि संभावित पीड़ित उतने ही जानकार हों जितना कि उन पर प्रहार करने वाले।

इस विषय पर अपने 2007 के निबंध में, ब्रूस श्नेयर ने पूर्ण प्रकटीकरण - सुरक्षा कमजोरियों के विवरण को सार्वजनिक करने का अभ्यास - एक शापित अच्छा विचार बताया। सुरक्षा में सुधार के लिए सार्वजनिक जांच ही एकमात्र विश्वसनीय उपाय  है, जबकि गोपनीयता ही हमें कम सुरक्षित बनाती है।  लियोनार्ड गुलाब (हैकर) हैकर), एक इलेक्ट्रॉनिक डाक सूची  के सह-निर्माता, जिसने सलाहों के प्रसार के लिए वास्तविक मंच बनने के लिए बुगराया को हटा दिया है, बताते हैं कि हम अस्पष्टता से सुरक्षा में विश्वास नहीं करते हैं, और जहां तक ​​​​हम जानते हैं, पूर्ण प्रकटीकरण है यह सुनिश्चित करने का एकमात्र उपाय है कि हर किसी की, न कि केवल अंदरूनी लोगों की, उस जानकारी तक पहुंच हो जिसकी हमें आवश्यकता है।

भेद्यता प्रकटीकरण विवाद
संवेदनशील जानकारी के सार्वजनिक स्पष्टीकरण को लेकर विवाद कोई नया नहीं है। पूर्ण प्रकटीकरण का मुद्दा सबसे पहले 19वीं शताब्दी के एक विवाद में ताला बनाने के संदर्भ में उठाया गया था कि क्या ताला प्रणाली में कमजोरियों को ताला बनाने वाले समुदाय में गुप्त रखा जाना चाहिए, या जनता के सामने प्रकट किया जाना चाहिए। आज, तीन प्रमुख प्रकटीकरण नीतियाँ हैं जिनके अंतर्गत अधिकांश अन्य को वर्गीकृत किया जा सकता है: गैर-प्रकटीकरण समझौता, उत्तरदायित्वपूर्ण प्रकटीकरण और पूर्ण प्रकटीकरण।

भेद्यता अनुसंधान में प्रमुख हितधारकों की अपनी प्रकटीकरण नीतियों को विभिन्न प्रेरणाओं द्वारा आकार दिया गया है, अभियान, विपणन या अपनी पसंदीदा नीति को अपनाने और असहमति रखने वालों को दंडित करने के लिए पैरवी करना असामान्य नहीं है। कई प्रमुख सुरक्षा शोधकर्ता पूर्ण प्रकटीकरण के पक्ष में हैं, जबकि अधिकांश विक्रेता समन्वित प्रकटीकरण को प्राथमिकता देते हैं। गैर-प्रकटीकरण अधिकांशतः व्यावसायिक शोषण करने वाले विक्रेताओं और हैकर (कंप्यूटर सुरक्षा) #ब्लैक हैट द्वारा पसंद किया जाता है।

समन्वित भेद्यता प्रकटीकरण
समन्वित भेद्यता प्रकटीकरण एक नीति है जिसके अधीन शोधकर्ता एक समन्वयक प्राधिकरण को कमजोरियों की आख्या करने के लिए सहमत होते हैं, जो फिर विक्रेता को आख्या करता है, सुधारों और कमी को पथ मार्ग करता है, और जनता सहित हितधारकों के साथ सूचना के प्रकटीकरण का समन्वय करता है। कुछ मामलों में समन्वयक प्राधिकारी विक्रेता होता है। समन्वित प्रकटीकरण का आधार अधिकांशतः यह है कि किसी को भी भेद्यता के बारे में तब तक सूचित नहीं किया जाना चाहिए जब तक कि सॉफ़्टवेयर विक्रेता यह न कहे कि यह समय है। जबकि इस नीति के अधिकतर अपवाद या विविधताएं होती हैं, वितरण शुरू में सीमित होना चाहिए और विक्रेताओं को गैर-सार्वजनिक अनुसंधान के लिए विशेषाधिकार प्राप्त पहुंच प्रदान की जाती है।

इस दृष्टिकोण का मूल नाम "जिम्मेदार प्रकटीकरण" था, जो माइक्रोसॉफ्ट सुरक्षा प्रबंधक स्कॉट कल्प के निबंध "इट्स टाइम टू एंड इंफॉर्मेशन एनार्की" पर आधारित था। (पूर्ण प्रकटीकरण का वर्णन करते हुए)। माइक्रोसॉफ्ट ने बाद में "समन्वित भेद्यता प्रकटीकरण" (सीवीडी) के पक्ष में इस शब्द को चरणबद्ध रूप से समाप्त करने का आह्वान किया।

यद्यपि तर्क भिन्न होता है, कई चिकित्सकों का तर्क है कि अंत-उपयोगकर्ता विक्रेता से मार्गदर्शन या स्तंबक के बिना भेद्यता जानकारी तक पहुंच से लाभान्वित नहीं हो सकते हैं, इसलिए दुर्भावनापूर्ण अभिनेताओं के साथ अनुसंधान साझा करने का अनिष्ट बहुत कम लाभ के लिए बहुत बड़ा है। जैसा कि माइक्रोसॉफ्ट समझाता है, [समन्वित प्रकटीकरण] यह सुनिश्चित करके सभी के सर्वोत्तम हितों की सेवा करता है कि ग्राहकों को सुरक्षा कमजोरियों के लिए व्यापक, उच्च-गुणवत्ता वाले आधुनिकीकरण प्राप्त हों, लेकिन आधुनिकीकरण विकसित होने के बीच में दुर्भावनापूर्ण हमलों के संपर्क में न आएं।

पूर्ण प्रकटीकरण
पूर्ण प्रकटीकरण भेद्यता पर बिना किसी प्रतिबंध के सूचना को जल्द से जल्द प्रकाशित करने की नीति है, जिससे जानकारी को बिना किसी प्रतिबंध के सामान्य जनता के लिए सुलभ बनाया जा सके। सामान्य तौर पर, पूर्ण प्रकटीकरण के समर्थकों का मानना ​​है कि स्वतंत्र रूप से उपलब्ध भेद्यता अनुसंधान के लाभ हानियों से अधिक हैं, जबकि विरोधी वितरण को सीमित करना पसंद करते हैं।

भेद्यता जानकारी की मुफ्त उपलब्धता उपयोगकर्ताओं और प्रशासकों को अपने प्रणाली में कमजोरियों को समझने और प्रतिक्रिया करने की अनुमति देती है, और ग्राहकों को विक्रेताओं को उन कमजोरियों को ठीक करने के लिए दबाव डालने की अनुमति देती है जो अन्यथा हल करने के लिए कोई प्रोत्साहन प्रकट नहीं कर सकते हैं। समन्वित प्रकटीकरण के साथ कुछ मूलभूत समस्याएं हैं जिनका पूर्ण प्रकटीकरण समाधान कर सकता है।


 * यदि ग्राहक कमजोरियों के बारे में नहीं जानते हैं, तो वे स्तंबक का अनुरोध नहीं कर सकते हैं, और विक्रेताओं को कमजोरियों को दूर करने के लिए कोई आर्थिक प्रोत्साहन नहीं मिलता है।
 * प्रशासक अपने प्रणाली के हानियों के बारे में सूचित निर्णय नहीं ले सकते, क्योंकि कमजोरियों पर जानकारी प्रतिबंधित है।
 * दुर्भावनापूर्ण शोधकर्ता जो दोष के बारे में भी जानते हैं, उनके पास दोष का दोहन जारी रखने के लिए एक लंबी अवधि है।

एक विशिष्ट दोष या भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना नहीं है, भिन्न-भिन्न प्रेरणा वाले कई शोधकर्ता एक ही दोष को स्वतंत्र रूप से ढूंढ सकते हैं और करते हैं।

जनता के लिए भेद्यता की जानकारी उपलब्ध कराने का कोई मानक उपाय नहीं है, शोधकर्ता अधिकतर विषय, अकादमिक कागजात या उद्योग सम्मेलनों को समर्पित डाक सूचियों का उपयोग करते हैं।

गैर प्रकटीकरण
गैर-प्रकटीकरण नीति है कि भेद्यता जानकारी साझा नहीं की जानी चाहिए, या केवल गैर-प्रकटीकरण समझौते (या तो अनुबंध या अनौपचारिक रूप से) के अधीन साझा की जानी चाहिए।

गैर-प्रकटीकरण के सामान्य समर्थकों में व्यावसायिक शोषण करने वाले विक्रेता, शोधकर्ता सम्मिलित हैं जो अपनी कमियों का लाभ उठाने का विचार रखते हैं, और अस्पष्टता के माध्यम से सुरक्षा के समर्थक।

समन्वित प्रकटीकरण के विरुद्ध तर्क
समन्वित प्रकटीकरण के पक्ष में शोधकर्ताओं का मानना ​​है कि उपयोगकर्ता विक्रेता के मार्गदर्शन के बिना भेद्यता के उन्नत ज्ञान का उपयोग नहीं कर सकते हैं, और भेद्यता जानकारी के वितरण को सीमित करके बहुमत को सबसे अच्छी सेवा दी जाती है। अधिवक्ताओं का तर्क है कि कम कुशलप्रहार वर इस जानकारी का उपयोग परिष्कृत हमलों को करने के लिए कर सकते हैं जो अन्यथा उनकी क्षमता से परे होगा, और संभावित लाभ पुरुषवादी अभिनेताओं द्वारा होने वाले संभावित नुकसान से अधिक नहीं है। केवल जब विक्रेता ने मार्गदर्शन तैयार किया है कि सबसे अपरिष्कृत उपयोगकर्ता भी पचा सकते हैं, तो जानकारी को सार्वजनिक किया जाना चाहिए।

यह तर्क मानता है कि भेद्यता की खोज एक पारस्परिक रूप से अनन्य घटना है, केवल एक व्यक्ति भेद्यता की खोज कर सकता है। कमजोरियों के एक साथ खोजे जाने के कई उदाहरण हैं, अधिकतर अन्य शोधकर्ताओं द्वारा ढूंढे जाने से पहले गोपनीयता में उनका शोषण किया जाता है। जबकि ऐसे उपयोगकर्ता उपस्थित हो सकते हैं जो भेद्यता की जानकारी से लाभ नहीं उठा सकते हैं, पूर्ण प्रकटीकरण अधिवक्ताओं का मानना ​​है कि यह अंतिम उपयोगकर्ताओं की बुद्धिमत्ता के लिए एक अवमानना ​​​​प्रदर्शित करता है। यद्यपि यह सच है कि कुछ उपयोगकर्ता भेद्यता की जानकारी से लाभान्वित नहीं हो सकते हैं, यदि वे अपने संजाल की सुरक्षा से चिंतित हैं तो वे उनकी सहायता के लिए एक विशेषज्ञ को नियुक्त करने की स्थिति में हैं जैसे आप एक कार के साथ मदद करने के लिए एक कारीगर को नियुक्त करते हैं।

गैर प्रकटीकरण के खिलाफ तर्क
गैर-प्रकटीकरण का उपयोग सामान्यतः तब किया जाता है जब एक शोधकर्ता अपने दुश्मनों द्वारा संचालित कंप्यूटर प्रणाली पर प्रहार करने के लिए भेद्यता के ज्ञान का उपयोग करना चाहता है, या लाभ के लिए किसी तीसरे पक्ष के लिए भेद्यता के ज्ञान का व्यापार करना चाहता है, जो सामान्यतः अपने दुश्मनों पर प्रहार करने के लिए इसका उपयोग करेगा।

गैर-प्रकटीकरण का अभ्यास करने वाले शोधकर्ता सामान्यतः सुरक्षा में सुधार या संजाल की सुरक्षा से संबंधित नहीं होते हैं। यद्यपि, कुछ समर्थक तर्क देते हैं कि वे केवल विक्रेताओं की सहायता नहीं करना चाहते हैं, और दूसरों को नुकसान पहुँचाने का कोई विचार नहीं होने का दावा करते हैं।

जबकि पूर्ण और समन्वित प्रकटीकरण अधिवक्ता समान लक्ष्यों और प्रेरणाओं की घोषणा करते हैं, केवल इस बात पर असहमत होते हैं कि उन्हें कैसे प्राप्त किया जाए, गैर-प्रकटीकरण पूरी तरह से असंगत है।

इस पेज में लापता आंतरिक लिंक की सूची

 * जिम्मेदार खुलासा
 * गैर प्रकटीकरण समझौता