Den amerikanske databaseudvikler Sybase har ved at true med et sagsanlæg lukket munden på sikkerhedsfirmaet Next Generation Security Software.
Det britiske sikkerhedsfirma ville offentliggøre oplysninger om otte sikkerhedshuller, som firmaet sidste år fandt i Sybases databasesoftware.
Det har Sybase sat en stopper for ved i et brev at advare sikkerhedsfirmaet om de juridiske konsekvenser af afsløringen.
Er i chok
- Vi er i chok. De hævder, at det hører ind under test og benchmarking at lede efter sikkerhedshuller, siger medstifter af Next Generation Security Software David Litchfield.
Som en del af licensbetingelserne for den version af Sybases software, som sikkerhedsfirmaet har undersøgt, kræver Sybase, at testresultater ikke må offentliggøres uden Sybases tilladelse.
Sybases reaktion over for Next Generation Security Software vækker blandede følelser i it-sikkerhedsbranchen.
- Jeg synes, det er en rigtig dårlig idé at prøve at blokere for eftersøgningen efter sikkerhedshuller, for det vil ikke få softwareleverandørerne til at skabe mere sikker software, siger Eric Beasley fra britiske Baker Hill Corporation.
Offentliggørelsen af sikkerhedshuller i software kræver dog, at brugerne får gavn af det. Enten i form af opdateringer eller andre foranstaltninger, der kan lukke for den risiko, sikkerhedshullet udgør.
- Hackerne er ofte dem, der får mest ud af offentliggørelsen af de tekniske detaljer omkring et sikkerhedshul, siger it-sikkerhedschef Kim Milford fra Rochester Universitetet i New York.
Sybase forsvarer sig da også med, at selskabet ikke finder, at det er i dets kunders bedste interesse, at sikkerhedshullerne bliver offentliggjort.