Elindult az upSploit.com, ami a szoftver sérülékenységek automatizált bejelentését és közzétételét tűzte ki célul. Regisztráció után Egyszerű űrlapok segítségével adhatók meg a feltárt sérülékenységek részletei, a folyamat végén a kijelölt gyártó automatikusan értesítésre kerül. A nyilvánosságrahozatalra a bejelentés után 180 nappal kerül sor, amennyiben a gyártó nem reagál az addig havonta illetve hetente küldött figyelmeztetésekre. 

Annak idején mi is gondolkoztunk hasonló megoldásban, és azt kell mondanom, hogy egy hasonló rendszer működtetése nem olyan egyszerű, mint elsőre tűnhet:

A beküldött mutatványok működését célszerű ellenőrizni, egyébként agybajt fognak kapni a gyártók a sok fals-pozitívtól. Ez manuálisan végezhető el, ami nem hatékony, ráadásul nem is biztos, hogy megtehető legálisan. A nyilvánosságrahozatal mikéntje nagyban függhet a hiba jellegétől - az upSploit adatbázisában jelenleg megtalálható esetek nagyrészt alacsony kockázatú, könnyen javítható problémák, melyek javítására a 180 nap egy kicsit túlzásnak tűnik, előfordulhatnak ugyanakkor olyan tervezési hiányosságok, melyeket csak egy következő főverzióban lehet majd javítani. Szintén érdekes problémákat vet fel, hogy ki fér hozzá a beküldött anyagokhoz, illetve hogy milyen kára származhat egy gyártónak egy akár téves megállapításokat is tartalmazó hibajegyből.

Érdekes lesz látni, hova fut ki a kezdeményezés, én megszavazok nekik egy linket oldalra.