IBM Internet Security Systems
IBM Internet Security Systems es una empresa dedicada a seguridad del software. Fue fundada en 1994 como Internet Security Systems, y es frecuente referirse a ella simplemente como ISS. Fue adquirida en 2006 por IBM.
Política de revelación
Su política de revelación de vulnerabilidades se podría catalogar como una política de revelación responsable salvo por el hecho de que la empresa tiene un servicio de subscripción privada de notificaciones que gestiona de la siguiente forma: En la comunicación inicial se informa al proveedor del sistema y poco después se comunica a los subscriptores de notificación que tiene la empresa (sus clientes).
Con esta política se aumenta mucho el riesgo de que la información llegue a atacantes maliciosos. Por eso esta política no se considera como de revelación responsable.
Referencias
- Andrew Cencini et ali., "Software Vulnerabilities: Full-, Responsible-, and Non-Disclosure". Diciembre 2005
- Stephen A. Sheperd,"Vulnerability Disclosure. How do we define Responsible Disclosure?. SANS Institute. Abril 2003