Jag lyssnade för ett tag sedan till en video från YouTube-kanalen Chris Titus Tech som fångade mitt intresse. Själva videon handlade om en säkerhetsforskare som publicerade en s.k. zero-day-bugg som fanns i fönsterhanteraren KDE. Själva buggen patchades inom 24 timmar. Säkerhetsforskaren publicerade säkerhetshålet publikt, antingen utan eller samtidigt som han tog kontakt med utvecklarteamet.

Enligt mig, och även kanalens huvudperson, så var det inte ett jättebra beslut. Framförallt handlar det om att forskaren inte gett utvecklarna tid att täppa till säkerhetshålet innan informationen gjordes publik.

Jag anser att utvecklarna bör få en chans att fixa en patch till säkerhetshålet som uppdagades. Detta innan publikation om fyndet. Jag anser att det handlar om att minimera risken att säkerhetshål inte ska kunna användas av (ondsinta) personer och/eller organisationer så länge säkerhetshålet finns. Det finns andra som (tyvärr) inte riktigt håller med denna åsikt.

Jag tycker att det är i allas intresse att säkerhetshål täpps till snarast möjligt. Samtidigt anser jag att när dessa uppdagas att utvecklaren av mjukvaran uppmärksammas på det privat, via ett meddelande eller e-post. Då minimeras risken att potentiellt ondsinta personer och organisationer får kännedom om sårbarheten innan den är åtgärdad, och därmed ökar risken för att dessa utnyttjar den. Jag säger inte att det är en garanti för att sårbarheterna inte kommer att användas, däremot tänker jag att färre ondsinta personer blir medvetna om det och därigenom blir det färre som riktar illasinnad kod mot sårbarheten.