Secunia geeft softwareleveranciers sinds begin dit jaar nog maar een half jaar de tijd om kwetsbare plekken in hun software te versterken. Tot nog toe gunde de beveiligingsspecialist de software-industrie een jaar.

Het traag patchen van lekken door sommige leveranciers lokt steeds meer kritiek uit. Onveilig, en niet erg netjes richting de beveiligingsonderzoekrs die vaak om niet bugs opsporen. HP-dochter TippingPoint verkorte de tijd die het softwarebedrijven na een melding gunt vorig jaar al naar een half jaar. Secunia volgt nu dus dat voorbeeld, althans voor kwetsbaarheden waarop het zelf via zijn Vulnerability Coordination Reward Programme op geattendeerd is.

Als een softwareleverancier een kwetsbaarheid zes maanden na melding ongepatcht laat, zal Secunia dat publiek maken - zonder details te geven. Bovendien vervalt dan de clausule die de deelnemer aan zijn Vulnerability Coordination Reward Programme verbiedt om ruchtbaarheid te geven aan de bug die hij of zij bij Secunia heeft aangemeld.

Lees ook het artikel over: IBM reageert het traagst op bugmeldingen